Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Microsoft Menemukan Bug MacOS yang Memungkinkan Malware Melewati Pemeriksaan Keamanan

by

Apple telah memperbaiki kerentanan yang dapat dimanfaatkan penyerang untuk menyebarkan malware pada perangkat MacOS yang rentan melalui aplikasi tidak terpercaya yang mampu melewati batasan eksekusi aplikasi Gatekeeper.

Dilaporkan oleh Jonathan Bar Or, seorang peneliti keamanan utama Microsoft. Bahwa ditemukan kelemahan keamanan yang dijuluki sebagai Achilles, dilacak sebagai CVE-2022-42821.

Bypass Gatekeeper Melalui ACL yang Membatasi
Gatekeeper adalah fitur keamanan MacOS yang memeriksa semua aplikasi yang diunduh dari Internet secara otomatis. Gatekeeper meminta pengguna untuk mengonfirmasi aplikasi tersebut sebelum diluncurkan dan akan mengeluarkan peringatan jika aplikasi tidak dapat dipercaya.

Cacat Achilles memungkinkan muatan yang dibuat khusus menyalahgunakan masalah logika untuk mengkonfigurasi izin Access Control List (ACL) yang membatasi yang memblokir browser web dan pengunduh Internet dari setelan atribut com.apple.quarantine untuk mengunduh muatan yang diarsipkan sebagai file ZIP.

Aplikasi berbahaya yang terkandung dalam muatan berbahaya yang diarsipkan akan diluncurkan di sistem target, memungkinkan penyerang mengunduh dan menyebarkan malware, sehingga pengguna tetap disarankan untuk menerapkan perbaikan meski dalam mode Lockdown.


Lebih Banyak Bypass Keamanan MacOS dan Malware
Ini hanya salah satu dari beberapa bypass Gatekeeper yang ditemukan dalam beberapa tahun terakhir, dengan banyak di antaranya disalahgunakan oleh penyerang untuk menghindari mekanisme keamanan MacOS seperti Gatekeeper, Karantina File, dan Perlindungan Integritas Sistem (SIP) pada Mac yang telah ditambal sepenuhnya.

Selain menemukan powerdir, bug yang memungkinkan penyerang melewati teknologi Transparency, Consent, and Control (TCC) untuk mengakses data pengguna yang dilindungi, peneliti juga merilis kode eksploit untuk kerentanan MacOS (CVE-2022-26706) yang dapat membantu penyerang melewati batasan kotak pasir untuk menjalankan kode pada sistem.

Apple telah memperbaiki kerentanan MacOS zero-day pada April 2021 yang memungkinkan aktor ancaman di balik malware Shlayer. Malware ini terkenal untuk menghindari pemeriksaan keamanan Karantina File, Gatekeeper, dan Notarisasi Apple dan mengunduh lebih banyak malware di Mac yang terinfeksi.

Selengkapnya: BLEEPINGCOMPUTER

Malware Glupteba Kembali Beraksi Setelah Gangguan Google

by

Botnet malware Glupteba telah beraksi kembali, menginfeksi perangkat di seluruh dunia setelah operasinya diganggu oleh Google hampir setahun yang lalu.

Pada Desember 2021, Google berhasil menyebabkan gangguan secara besar-besaran pada botnet yang mengaktifkan blockchain, mengamankan perintah pengadilan untuk mengambil kendali atas infrastruktur botnet dan mengajukan keluhan terhadap dua operator Rusia.

Nozomi melaporkan transaksi blockchain, pendaftaran sertifikat TLS, dan sampel rekayasa balik Glupteba menunjukkan kampanye Glupteba skala besar baru yang dimulai pada Juni 2022 dan masih berlangsung.

Menemukan fungsi yang digunakan untuk mengambil domain C2 (Nozomi)

Bersembunyi di Blockchain
Glupteba adalah malware modular berkemampuan blockchain yang menginfeksi perangkat Windows untuk menambang cryptocurrency, mencuri kredensial dan cookie pengguna, dan menyebarkan proxy pada sistem Windows dan perangkat IoT.

Malware ini sebagian besar didistribusikan melalui malvertising pada jaringan bayar-per-instal (PPI) dan sistem distribusi lalu lintas (TDS) yang mendorong penginstal yang menyamar sebagai perangkat lunak, video, dan film gratis.

Glupteba menggunakan blockchain Bitcoin untuk menghindari gangguan dengan menerima daftar terbaru dari server perintah dan kontrol yang harus dihubungi untuk menjalankan perintah.

Klien botnet mengambil alamat server C2 menggunakan fungsi temukan yang menyebutkan server dompet Bitcoin, mengambil transaksi mereka, dan mem-parsingnya untuk menemukan alamat terenkripsi AES.

Diagram transaksi blockchain. Dari kiri ke kanan, kampanye 2022 (paling kompleks), 2021, 2020, dan 2019 (Nozomi)

Kembalinya Glupteba
Menurut Nozomi, penggunaan blockchain dengan cara yang sama membuat analis Glupteba memindai seluruh blockchain untuk menemukan domain C2 yang tersembunyi.

Dalam investigasi oleh Nozomi, ditemukan sejumlah 15 alamat Bitcoin yang digunakan dalam empat kampanye Glupteba.

Berdasarkan hasil penuturan Nozomi diatas, mulai dari jumlah layanan tersembunyi TOR yang digunakan sebagai server C2 yang meningkat sepuluh kali lipat sejak kampanye 2021, banyak pendaftaran domain Glupteba melalui data DNS pasif dan lainnya, menandakan bahwa botnet Glupteba telah kembali, dan terdapat tanda-tanda yang menunjukkan botnet ini lebih masif dari sebelumnya, bahkan berpotensi lebih tangguh.

Selengkapnya: BLEEPINGCOMPUTER

Tagged With: Blockchain, Botnet, Glupteba, Google, Malware

Peretas T-Mobile Terhukum 10 Tahun Atas Skema Buka Kunci Telepon $25 Juta

by

Argishti Khudaverdyan, mantan pemilik toko ritel T-Mobile, dijatuhi hukuman 10 tahun penjara atas skema $25 juta di mana dia membuka kunci dan membuka blokir ponsel dengan meretas sistem internal T-Mobile.

Antara Agustus 2014 dan Juni 2019, pria berusia 44 tahun dibalik skema tersebut, yang juga diperintahkan untuk membayar $28.473.535 sebagai ganti rugi, “membersihkan” ratusan ribu ponsel untuk “pelanggan” -nya.

Kontrak Khudaverdyan sebagai pemilik toko ritel T-Mobile Solusi Tingkat Atas di California diakhiri oleh operator nirkabel pada Juni 2017 karena perilaku komputernya yang mencurigakan dan hubungannya dengan pembukaan kunci ponsel yang tidak sah.

Khudaverdyan memperoleh akses ke sistem komputer internal T-Mobile menggunakan kredensial yang dicuri dalam serangan phishing dari lebih dari 50 karyawan T-Mobile yang berbeda dengan rekannya, Alen Gharehbagloo, mantan mitra bisnisnya dan salah satu pemilik toko seluler.

Gharehbagloo, juga mengaku bersalah pada 5 Juli atas persekongkolan untuk melakukan penipuan kawat, mengakses komputer yang dilindungi dengan maksud untuk menipu, dan persekongkolan untuk melakukan pencucian uang.

Terdakwa melancarkan aksinya dengan berkedok sebagai layanan membuka kunci premium langsung untuk semua operator telepon kepada pelanggan potensial melalui berbagai cara, termasuk email dan situs web khusus seperti unlocks247.com dan unlockedlocked.com.

Pada sebuah kesempatan, terdakwa menggunakan kredensial T-Mobile miliknya sendiri untuk masuk ke titik akses Wi-Fi T-Mobile dari Texas dan mengakses situs web unlockitall.com, langsung menghubungkan dirinya ke skema buka kunci ponsel ilegal.

Menggunakan kredensial yang dicuri dan nomor IMEI yang dikirim oleh pelanggan melalui situs web yang mereka kendalikan, kedua pria itu membuka kunci ratusan ribu perangkat Android dan iOS menggunakan alat Mobile Device Unlock (MDU) dan MCare Unlock (MCare) khusus T-Mobile.

Selengkapnya: BLEEPINGCOMPUTER

Platform CRM Restoran ‘SevenRooms’ Mengonfirmasi Pelanggaran Setelah Data Dijual

by

Platform manajemen pelanggan Restoran SevenRooms telah mengonfirmasi mengalami pelanggaran data setelah pelaku ancaman mulai menjual data curian di forum peretasan.

Platform Customer Relationship Management (CRM) restoran ini digunakan oleh rantai restoran internasional dan penyedia layanan perhotelan.

Pelanggaran berasal dari postingan seorang pelaku ancaman tentang sampel data di forum peretasan yang dilanggar, mengklaim telah mencuri basis data cadangan 427 GB dengan ribuan file berisi informasi pelanggan SevenRooms.

Sampel tersebut mencakup folder yang diberi nama sesuai jaringan restoran besar, klien SevenRooms, kunci API, kode promo, laporan pembayaran, daftar reservasi, dan banyak lagi.

Beruntungnya, informasi kartu kredit tamu, data rekening bank, nomor jaminan sosial, atau informasi sensitif serupa lainnya tidak disimpan di server yang disusupi, sehingga tidak terungkap dalam serangan itu.

Perusahaan mengonfirmasi bahwa pelanggaran ini disebabkan oleh akses tidak sah ke sistem salah satu vendornya. Meskipun pelanggaran yang terjadi tidak secara langsung menyerang sistem, perusahaan segera melakukan tindakan lanjutan terkait hal ini seperti meluncurkan penyelidikan internal dan menonaktifkan akses ke antarmuka.

Belum diketahui secara jelas restoran dan pelanggaran mana yang terdampak oleh pelanggaran ini, perusahaan akan melihat pemberitahuan pelanggaran data lebih lanjut yang dirilis oleh restoran yang data pelanggannya terungkap.

Selengkapnya: BLEEPINGCOMPUTER

Bug LEGO BrickLink memungkinkan peretas membajak akun, merusak server

by

Analis keamanan telah menemukan dua kerentanan keamanan API di BrickLink.com, pasar barang bekas dan vintage resmi LEGO Group untuk batu bata LEGO.

BrickLink adalah komunitas online penggemar LEGO terbesar di dunia, dengan lebih dari satu juta anggota terdaftar.

Dua masalah keamanan API yang ditemukan oleh Salt Security dapat memungkinkan penyerang mengambil alih akun anggota, mengakses dan mencuri informasi identitas pribadi (PII) yang disimpan di platform, atau bahkan mendapatkan akses ke data produksi internal dan membahayakan server internal.

Analis Salt Security menemukan kerentanan saat bereksperimen dengan bidang masukan pengguna di situs web BrickLink.

Yang pertama adalah cacat cross-site scripting (XSS) di kotak dialog “Temukan Nama Pengguna” di bagian pencarian kupon, yang memungkinkan penyerang menyuntikkan dan mengeksekusi kode pada mesin target menggunakan tautan yang dibuat khusus.

Menggunakan ID Sesi target yang diekspos di halaman berbeda, penyerang dapat memanfaatkan kelemahan XSS untuk membajak sesi dan mengambil alih akun target.

Mengakses akun berarti membuka semua data yang disimpan di platform, termasuk detail pribadi, alamat email, alamat pengiriman, riwayat pesanan, kupon, umpan balik yang diterima, item yang diinginkan, dan riwayat pesan.

Cacat kedua terletak pada halaman “Unggah ke Daftar Dicari”, di mana pengguna dapat mengunggah daftar XML yang berisi bagian LEGO yang ingin mereka temukan dan beli.

Dengan mengeksploitasi kelemahan dalam mekanisme penguraian titik akhir, analis Salt Security meluncurkan serangan injeksi Entitas Eksternal XML (XXE) yang berhasil, menambahkan referensi ke entitas eksternal pada file mereka.

Serangan XXE memungkinkan mereka untuk membaca file di server web dan mengeksekusi serangan pemalsuan permintaan sisi server (SSRF), yang dapat menyebabkan pengusiran token AWS EC2 untuk server.

Selengkapnya: Bleeping Computer

MCCrash: Botnet DDoS lintas platform menargetkan server pribadi Minecraft

by

Tim peneliti Pertahanan Microsoft untuk IoT baru-baru ini menganalisis botnet lintas platform yang berasal dari unduhan perangkat lunak berbahaya di perangkat Windows dan berhasil menyebar ke berbagai perangkat berbasis Linux.

Botnet menyebar dengan menyebutkan kredensial default pada perangkat yang mendukung Secure Shell (SSH) yang terpapar internet. Karena perangkat IoT biasanya diaktifkan untuk konfigurasi jarak jauh dengan pengaturan yang berpotensi tidak aman, perangkat ini dapat berisiko terkena serangan seperti botnet ini.

Mekanisme penyebaran botnet menjadikannya ancaman yang unik, karena meskipun malware dapat dihapus dari PC sumber yang terinfeksi, ia dapat bertahan di perangkat IoT yang tidak dikelola di jaringan dan terus beroperasi sebagai bagian dari botnet.

Microsoft melacak klaster aktivitas ini sebagai DEV-1028, botnet lintas platform yang menginfeksi perangkat Windows, perangkat Linux, dan perangkat IoT. Botnet DEV-1028 diketahui meluncurkan serangan denial of service (DDoS) terdistribusi terhadap server pribadi Minecraft.

Analisis peneliti terhadap botnet DDoS mengungkapkan fungsionalitas yang dirancang khusus untuk menargetkan server pribadi Minecraft Java menggunakan paket yang dibuat, kemungkinan besar sebagai layanan yang dijual di forum atau situs darknet.

Jenis ancaman ini menekankan pentingnya memastikan bahwa organisasi mengelola, tetap up to date, dan memantau tidak hanya titik akhir tradisional tetapi juga perangkat IoT yang seringkali kurang aman.

Dalam postingan blog ini, kami membagikan detail tentang bagaimana botnet ini memengaruhi banyak platform, kemampuan DDoS-nya, dan rekomendasi bagi organisasi untuk mencegah perangkat mereka menjadi bagian dari botnet. Kami juga membagikan informasi versi server Minecraft kepada pemilik server pribadi untuk memperbarui dan memastikan mereka terlindungi dari ancaman ini.

Selengkapnya: Microsoft

Microsoft menemukan botnet Windows/Linux yang digunakan dalam serangan DDoS

by

Peneliti Microsoft telah menemukan botnet Windows-Linux hybrid yang menggunakan teknik yang sangat efisien untuk menghentikan server Minecraft dan melakukan serangan denial-of-service terdistribusi pada platform lain.

Dijuluki MCCrash, botnet menginfeksi mesin dan perangkat Windows yang menjalankan berbagai distribusi Linux untuk digunakan dalam serangan DDoS. Di antara perintah yang diterima perangkat lunak botnet adalah yang disebut ATTACK_MCCRASH. Perintah ini mengisi nama pengguna di halaman login server Minecraft dengan ${env:random payload dengan ukuran tertentu:-a}. String menghabiskan sumber daya server dan membuatnya macet.

“Penggunaan variabel env memicu penggunaan pustaka Log4j 2, yang menyebabkan konsumsi sumber daya sistem yang tidak normal (tidak terkait dengan kerentanan Log4Shell), menunjukkan metode DDoS yang spesifik dan sangat efisien,” tulis peneliti Microsoft. “Berbagai versi server Minecraft dapat terpengaruh.”

Saat ini, MCCrash di-hardcode untuk hanya menargetkan perangkat lunak server Minecraft versi 1.12.2. Teknik serangan, bagaimanapun, akan menurunkan server yang menjalankan versi 1.7.2 hingga 1.18.2, yang menjalankan sekitar setengah dari server Minecraft dunia. Jika malware diperbarui untuk menargetkan semua versi yang rentan, jangkauannya bisa lebih luas. Modifikasi di server Minecraft versi 1.19 mencegah serangan bekerja.

“Berbagai server Minecraft yang berisiko menyoroti dampak malware ini jika dikodekan secara khusus untuk memengaruhi versi di atas 1.12.2,” tulis peneliti Microsoft. “Kemampuan unik dari ancaman ini untuk memanfaatkan perangkat IoT yang seringkali tidak dipantau sebagai bagian dari botnet secara substansial meningkatkan dampaknya dan mengurangi peluang untuk terdeteksi.”

Selengkapnya: ars TECHNICA

NIST Menghentikan Algoritma Kriptografi SHA-1

by

Fungsi hash kriptografi yang terhormat memiliki kerentanan yang membuat penggunaannya lebih lanjut tidak disarankan.
Algoritma Hash Aman telah digunakan sejak 1995 sebagai bagian dari Standar Pemrosesan Informasi Federal (FIPS) 180-1. Pakar keamanan di National Institute of Standards and Technology (NIST) mengumumkan bahwa SHA-1 harus dihapus pada 31 Desember 2030, mendukung grup algoritma SHA-2 dan SHA-3 yang lebih aman.
Didukung dengan pernyataan oleh Chris Celi, ilmuwan komputer NIST, disarankan agar segera mungkin bermigrasi ke SHA-2 atau SHA-3. Salah satu penyebabnya adalah keparahan serangan collision untuk merusak SHA-1 di aplikasi lain.
SHA-1 berfungsi sebagai blok penyusun untuk banyak aplikasi keamanan, seperti memvalidasi situs web dengan tujuan mengamankan informasi dengan melakukan operasi matematika yang kompleks pada karakter pesan, menghasilkan string karakter pendek yang disebut hash.
Rencana NISAT pada tanggal 31 Desember 2030 antara lain mempublikasikan FIPS 180-5 (revisi FIPS 180) untuk menghapus spesifikasi SHA-1, merevisi SP 800-131A dan publikasi NIST lain yang terpengaruh untuk mencerminkan penarikan SHA-1 yang direncanakan, dan membuat & menerbitkan strategi transisi untuk memvalidasi modul dan algoritma kriptografi.

Selengkapnya: NIST