Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Paket malware baru menyebar sendiri melalui video game YouTube

by

Bundel malware baru menggunakan saluran YouTube korban untuk mengunggah video tutorial berbahaya yang mengiklankan cheat dan crack palsu untuk video game populer untuk menyebarkan paket berbahaya lebih jauh.

Bundel malware yang menyebar sendiri telah dipromosikan di video YouTube yang menargetkan penggemar yang bermain FIFA, Final Fantasy, Forza Horizon, Lego Star Wars, dan Spider-Man.

Video yang diunggah ini berisi tautan untuk mengunduh crack dan cheat palsu, tetapi pada kenyataannya, mereka memasang bundel malware yang menyebar sendiri yang menginfeksi pengunggah.

Dalam laporan baru oleh Kaspersky, para peneliti menemukan arsip RAR yang berisi kumpulan malware, terutama RedLine, yang saat ini merupakan salah satu pencuri informasi yang paling banyak didistribusikan.

RedLine dapat mencuri informasi yang disimpan di browser web korban, seperti cookie, kata sandi akun, dan kartu kredit, mengakses percakapan instant messenger, dan membahayakan dompet cryptocurrency.

Selain itu, penambang disertakan dalam arsip RAR, mengambil keuntungan dari kartu grafis korban, yang kemungkinan besar mereka miliki karena mereka menonton video game di YouTube, untuk menambang cryptocurrency untuk penyerang.

Berkat utilitas Nirsoft NirCmd yang sah dalam bundel, bernama “nir.exe,” saat diluncurkan, semua yang dapat dieksekusi akan disembunyikan dan tidak menghasilkan jendela di antarmuka atau ikon bilah tugas apa pun, jadi semuanya tetap tersembunyi dari korban.

Infeksi yang dibundel dan yang dapat dieksekusi sendiri tidak terlalu menarik dan biasanya digunakan oleh aktor ancaman dalam kampanye distribusi malware lainnya.

Namun, Kaspersky menemukan mekanisme propagasi diri yang tidak biasa dan menarik yang bersembunyi di arsip yang memungkinkan malware menyebar sendiri ke korban lain di Internet.

Secara khusus, RAR berisi file batch yang menjalankan tiga executable berbahaya, yaitu “MakiseKurisu.exe”, “download.exe”, dan “upload.exe”, yang melakukan self-propagation bundel.

File yang terdapat dalam RAR (Kaspersky)

Yang pertama, MakiseKurisu, adalah versi modifikasi dari pencuri kata sandi C# yang tersedia secara luas, yang digunakan hanya untuk mengekstrak cookie dari browser dan menyimpannya secara lokal.

Eksekusi kedua, “download.exe”, digunakan untuk mengunduh video dari YouTube, yang merupakan salinan video yang mempromosikan bundel berbahaya.

Video diunduh dari tautan yang diambil dari repositori GitHub untuk menghindari mengarah ke URL video yang dilaporkan dan dihapus dari YouTube.

Video YouTube yang mempromosikan bundel malware (Kaspersky)

Akhirnya, “upload.exe” digunakan untuk mengunggah video yang mempromosikan malware ke YouTube, menggunakan cookie yang dicuri untuk masuk ke akun YouTube korban dan menyebarkan bundel melalui saluran mereka.

Code to upload the malicious videos (Kaspersky)

“Itu [upload.exe] menggunakan Puppiteer Node library, yang menyediakan API tingkat tinggi untuk mengelola Chrome dan Microsoft Edge menggunakan protokol DevTools,” jelas Kaspersky dalam laporannya.

“Ketika video berhasil diunggah ke YouTube, upload.exe mengirim pesan ke Discord dengan tautan ke video yang diunggah.”

Menghasilkan pemberitahuan Discord (Kaspersky)

Sementara pelaku ancaman mendapat informasi tentang unggahan baru, pemilik saluran kemungkinan tidak akan menyadari bahwa mereka mempromosikan perangkat lunak perusak di YouTube jika mereka tidak terlalu aktif di platform tersebut.

Metode distribusi agresif ini membuat pengawasan dan penghapusan di YouTube semakin sulit, karena video yang mengarah ke unduhan berbahaya diunggah dari akun yang kemungkinan memiliki catatan bersih yang sudah lama ada.

Sumber: Bleeping Computer

Lebih dari 280.000 Situs WordPress Diserang Menggunakan Plugin WPGateway Kerentanan Zero-Day

by

Cacat zero-day dalam versi terbaru dari plugin premium WordPress yang dikenal sebagai WPGateway sedang dieksploitasi secara aktif di alam liar, berpotensi memungkinkan aktor jahat untuk sepenuhnya mengambil alih situs yang terpengaruh.

Dilacak sebagai CVE-2022-3180 (skor CVSS: 9,8), masalah ini dipersenjatai untuk menambahkan pengguna administrator jahat ke situs yang menjalankan plugin WPGateway, kata perusahaan keamanan WordPress Wordfence.

WPGateway ditagih sebagai sarana bagi administrator situs untuk menginstal, mencadangkan, dan mengkloning plugin dan tema WordPress dari dasbor terpadu.

Indikator paling umum bahwa situs web yang menjalankan plugin telah disusupi adalah adanya administrator dengan nama pengguna “rangex.”

Selain itu, munculnya permintaan ke “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” di log akses adalah tanda bahwa situs WordPress telah ditargetkan menggunakan cacat, meskipun itu tidak selalu menyiratkan pelanggaran yang berhasil.

Wordfence mengatakan telah memblokir lebih dari 4,6 juta serangan yang mencoba memanfaatkan kerentanan terhadap lebih dari 280.000 situs dalam 30 hari terakhir.

Rincian lebih lanjut tentang kerentanan telah dirahasiakan karena eksploitasi aktif dan untuk mencegah aktor lain mengambil keuntungan dari kekurangan tersebut. Dengan tidak adanya tambalan, pengguna disarankan untuk menghapus plugin dari instalasi WordPress mereka hingga perbaikan tersedia.

Perkembangan ini terjadi beberapa hari setelah Wordfence memperingatkan penyalahgunaan di alam liar dari cacat zero-day lainnya di plugin WordPress yang disebut BackupBuddy.

Pengungkapan juga tiba saat Sansec mengungkapkan bahwa aktor ancaman masuk ke sistem lisensi ekstensi FishPig, vendor integrasi Magento-WordPress yang populer, untuk menyuntikkan kode berbahaya yang dirancang untuk menginstal trojan akses jarak jauh yang disebut Rekoobe.

Sumber: The Hackernews

Pembaruan Keamanan Terbaru Microsoft Memperbaiki 64 Kelemahan Baru, Termasuk Zero-Day

by

Microsoft telah merilis perbaikan keamanan untuk kerentanan zero-day yang memengaruhi semua versi Windows yang didukung yang telah dieksploitasi dalam serangan di dunia nyata.

Bug zero-day, dilacak sebagai CVE-2022-37969, digambarkan sebagai peningkatan cacat hak istimewa di Windows Common Log File System Driver, subsistem yang digunakan untuk data dan pencatatan peristiwa. Bug memungkinkan penyerang untuk mendapatkan tingkat akses tertinggi, yang dikenal sebagai hak istimewa sistem, ke perangkat yang rentan.

Microsoft mengatakan pengguna yang menjalankan Windows 11 dan sebelumnya, dan Windows Server 2008 dan Windows Server 2012, terpengaruh. Windows 7 juga akan menerima patch keamanan, meskipun tidak lagi didukung pada tahun 2020.

Microsoft mengatakan cacat tersebut mengharuskan penyerang sudah memiliki akses ke perangkat yang disusupi, atau kemampuan untuk menjalankan kode pada sistem target.

Microsoft memuji empat kelompok peneliti yang berbeda dari CrowdStrike, DBAPPSecurity, Mandiant, dan Zscaler karena melaporkan kesalahan tersebut, yang mungkin merupakan eksploitasi yang meluas di alam pembohong.

Dhanesh Kizhakkinan, kerentanan bagian utama senior di Mandiant, mengatakan kepada TechCrunch bahwa perusahaan menemukan bug “selama misi pencarian eksploitasi Offensive Task Force proaktif,” menambahkan bahwa eksploitasi mandiri dan bukan dari rantai serangan.

Microsoft tidak membagikan detail tentang serangan yang mengeksploitasi kerentanan ini dan tidak menanggapi permintaan komentar kami.

Perbaikan tersebut masuk kebagian dari rilis bulanan perbaikan keamanan Microsoft Patch Tuesday, yang mencakup total 63 kerentanan di berbagai produk Microsoft, termasuk Microsoft Edge, Office, dan Windows Defender.

Microsoft juga merilis patch untuk cacat zero-day kedua, dilacak sebagai CVE-2022-23960, yang diprediksi sebagai kerentanan cache yang dikenal sebagai “Spectre-BHB” yang memengaruhi Windows 11 untuk sistem berbasis ARM. Spectre-BHB adalah varian dari kerentanan Spectre v2, yang memungkinkan penyerang mencuri data dari memori.

Sumber: TechCrunch

Skimmer ATM super tipis ‘Deep Insert’

by

Sejumlah lembaga keuangan di dalam dan sekitar New York City berurusan dengan perangkat skimming “Deep Insert” super tipis yang dirancang untuk masuk ke dalam mulut slot penerimaan kartu ATM.

Skimmer kartu tersebut dipasangkan dengan kamera sebesar lubang jarum kecil yang disamarkan sebagai bagian dari mesin ATM.

Skimmer “Deep Insert” ultra tipis dan fleksibel yang baru-baru ini ditemukan dari mesin ATM NCR di New York. Persegi panjang kuning besar adalah baterai. Gambar: KrebsOnSecurity.com.

Sisipan skimmer yang digambarkan di atas tingginya sekitar 0,68 milimeter. Ini menyisakan lebih dari cukup ruang untuk menampung sebagian besar kartu pembayaran (~.54 mm) tanpa mengganggu kemampuan mesin untuk mengambil dan mengembalikan kartu pelanggan.

Skimmer ini tidak berusaha untuk menyedot data atau transaksi kartu chip, melainkan data pemegang kartu masih disimpan dalam teks biasa pada strip magnetik di bagian belakang sebagian besar kartu pembayaran.

Sisi lain dari skimmer Deep Insert. Gambar: KrebsOnSecurity.com.

Pencuri yang merancang skimmer ini mengincar data strip magnetik dan 4 digit nomor identifikasi pribadi (PIN) pelanggan. Dengan dua data tersebut, para penjahat kemudian dapat mengkloning kartu pembayaran dan menggunakannya untuk menyedot uang dari rekening korban di ATM lain.

Untuk mencuri PIN, para penipu dalam hal ini menyematkan kamera lubang jarum di panel palsu yang dibuat agar pas di atas penutup mesin ATM di satu sisi bantalan PIN.

Kamera lubang jarum disembunyikan di panel samping palsu yang direkatkan ke satu sisi ATM, dan miring ke arah bantalan PIN. Gambar: KrebsOnSecurity.com.

Perangkat skimming yang digambarkan di atas diambil dari merek ATM buatan NCR yang disebut NCR SelfServ 84 Walk-Up. Pada Januari 2022, NCR menghasilkan laporan tentang skimmer Deep Insert bermotor, yang menawarkan tampilan lebih dekat pada skimmer sisipan lain yang ditemukan menargetkan lini ATM yang sama ini.

Berikut adalah beberapa variasi pada skimmer Deep Insert yang ditemukan NCR dalam penyelidikan terbaru:

Gambar di sebelah kiri di bawah menunjukkan skimmer Deep Insert lainnya dan komponen penyusunnya. Gambar di sebelah kanan menunjukkan kamera lubang jarum yang dioperasikan dengan baterai yang tersembunyi di fasia palsu langsung di sebelah kanan bantalan PIN ATM.

Laporan NCR termasuk foto tambahan yang menunjukkan bagaimana panel samping ATM palsu dengan kamera tersembunyi dibuat dengan hati-hati untuk menyelinap di atas panel samping ATM asli.

Terkadang Skimmer menyematkan kamera mata-mata lubang jarum mereka di panel palsu langsung di atas bantalan PIN, seperti dalam serangan baru-baru ini yang menargetkan model NCR yang serupa:

Pada gambar di bawah, skimmer menyembunyikan kamera lubang jarum mereka di “cermin kesadaran konsumen” yang ditempatkan tepat di atas ATM yang dipasangi skimmer sisipan:

Lembaga keuangan mengatakan telah melihat keberhasilan dalam menghentikan sebagian besar serangan skimmer insert ini dengan memasukkan solusi yang dijual NCR yang disebut “insert kit”, yang menghentikan desain skimmer saat ini untuk menemukan dan mengunci pembaca kartu.

NCR juga sedang melakukan uji coba lapangan pada “kit pendeteksi pintar” yang menambahkan kamera USB standar untuk melihat area pembaca kartu internal, dan menggunakan perangkat lunak pengenalan gambar untuk mengidentifikasi perangkat palsu di dalam pembaca kartu.

Perangkat skimming akan terus berkembang dalam miniaturisasi dan sembunyi-sembunyi selama kartu pembayaran terus menyimpan data pemegang kartu dalam teks biasa pada strip magnetik.

Banyak model ATM yang lebih baru, termasuk NCR SelfServ yang sekarang menyertakan kemampuan tanpa kontak, yang berarti pelanggan tidak perlu lagi memasukkan kartu ATM mereka cukup dengan mengetuk kartu pintar mereka terhadap indikator nirkabel di sebelah kiri penerimaan kartu slot (tepat di bawah tanda “Gunakan Perangkat Seluler Di Sini” di ATM).

Untuk itu hindari mesin ATM yang tampak mencurigakan dan berdiri sendiri di area dengan penerangan rendah. Tetap gunakan ATM yang secara fisik terpasang di bank.

Terakhir tetapi yang paling penting, menutupi bantalan PIN dengan tangan Anda agar tidak bisa dilihat oleh kamera yang biasanya disembunyikan skimmer di suatu tempat di atau dekat ATM yang disusupi untuk menangkap pelanggan yang memasukkan PIN mereka.

Sumber : Krebson Security

Peretas Iran Menargetkan Target Bernilai Tinggi dalam Keamanan Nuklir dan Riset Genomik

by

Peretas yang terkait dengan pemerintah Iran telah menargetkan individu yang berspesialisasi dalam urusan Timur Tengah, keamanan nuklir, dan penelitian genom sebagai bagian dari kampanye rekayasa sosial baru yang dirancang untuk berburu informasi sensitif.

Perusahaan keamanan perusahaan Proofpoint mengaitkan serangan yang ditargetkan dengan aktor ancaman bernama TA453, yang secara luas tumpang tindih dengan aktivitas dunia maya yang dipantau di bawah moniker APT42, Charming Kitten, dan Phosphorus.

Semuanya dimulai dengan email phishing yang menyamar sebagai individu yang sah di organisasi penelitian kebijakan luar negeri Barat yang pada akhirnya dirancang untuk mengumpulkan intelijen atas nama Korps Pengawal Revolusi Islam (IRGC) Iran.

Akun sock puppet termasuk orang-orang dari Pew Research Center, Institut Penelitian Kebijakan Luar Negeri (FRPI), Chatham House Inggris, dan jurnal ilmiah Nature. Teknik ini dikatakan telah dikerahkan pada pertengahan Juni 2022.

Namun, yang membedakan ini dari serangan phishing lainnya adalah penggunaan taktik Proofpoint yang disebut Multi-Persona Impersonation (MPI), di mana pelaku ancaman menggunakan tidak hanya satu tetapi beberapa persona yang dikendalikan aktor dalam percakapan email yang sama untuk meningkatkan peluang keberhasilan.

Idenya adalah untuk “memanfaatkan prinsip psikologi dari bukti sosial” dan meningkatkan keaslian korespondensi aktor ancaman sehingga membuat target membeli ke dalam skema, sebuah taktik yang menunjukkan kemampuan musuh yang berkelanjutan untuk meningkatkan permainannya.

Setelah email awal mendapat tanggapan dari target, persona kemudian mengirim pesan tindak lanjut yang berisi tautan OneDrive berbahaya yang mengunduh dokumen Microsoft Office, salah satunya konon menyinggung bentrokan antara Rusia dan AS.

Dokumen ini selanjutnya menggunakan teknik yang disebut injeksi templat jarak jauh untuk mengunduh Korg, templat yang terdiri dari tiga makro yang mampu mengumpulkan nama pengguna, daftar proses yang berjalan, dan alamat IP publik korban.

Selain penggalian informasi suar, tidak ada tindakan pasca-eksploitasi lainnya yang diamati. Kurangnya “abnormal” eksekusi kode dan perilaku perintah-dan-kontrol telah menyebabkan penilaian bahwa pengguna yang disusupi dapat menjadi sasaran serangan lebih lanjut berdasarkan perangkat lunak yang diinstal.

Ini bukan pertama kalinya aktor ancaman melakukan kampanye peniruan identitas. Pada Juli 2021, Proofpoint mengungkapkan operasi phishing yang dijuluki SpoofedScholars yang menargetkan individu yang berfokus pada urusan Timur Tengah di AS dan Inggris dengan kedok sarjana dengan School of Oriental and African Studies (SOAS) Universitas London.

Kemudian pada Juli 2022, perusahaan keamanan siber menemukan upaya dari pihak TA453 untuk menyamar sebagai jurnalis untuk memikat akademisi dan pakar kebijakan agar mengklik tautan jahat yang mengarahkan target ke domain pengambilan kredensial.

Pengungkapan terbaru datang di tengah kesibukan aktivitas dunia maya terkait Iran. Pekan lalu, Microsoft menyelesaikan serangkaian serangan ransomware yang dipasang oleh subkelompok Fosfor yang dijuluki DEV-0270 menggunakan binari yang hidup di luar negeri seperti BitLocker.

Selain itu, perusahaan keamanan siber Mandiant, yang sekarang secara resmi menjadi bagian dari Google Cloud, merinci aktivitas aktor spionase Iran dengan nama sandi APT42 yang telah dikaitkan dengan lebih dari 30 operasi sejak 2015.

Di atas semua itu, Departemen Keuangan mengumumkan sanksi terhadap Kementerian Intelijen dan Keamanan Iran (MOIS) dan Menteri Intelijennya, Esmaeil Khatib, sebagai tanggapan atas “aktivitas yang mendukung dunia maya terhadap Amerika Serikat dan sekutunya.”

Albania, yang telah memutuskan hubungan diplomatik dengan Iran setelah menyalahkannya atas serangkaian serangan dunia maya sejak Juli, menuding “agresor yang sama” selama akhir pekan karena melakukan serangan lain terhadap sistem pemerintah yang digunakan untuk melacak penyeberangan perbatasan.

Sumber: The Hackernews

Pemerintah dan Organisasi Asia Menjadi Sasaran Serangan Spionase Siber Terbaru

by

Pemerintah dan organisasi milik negara di sejumlah negara Asia telah menjadi sasaran kelompok peretas spionase yang berbeda sebagai bagian dari misi pengumpulan intelijen yang telah berlangsung sejak awal 2021.

Kampanye tersebut dikatakan secara eksklusif ditujukan untuk lembaga pemerintah yang terkait dengan keuangan, kedirgantaraan, dan pertahanan, serta perusahaan media, TI, dan telekomunikasi milik negara.

Pemuatan samping pustaka tautan dinamis (DLL) adalah metode serangan siber populer yang memanfaatkan cara aplikasi Microsoft Windows menangani file DLL. Dalam intrusi ini, DLL berbahaya palsu ditanam di direktori Windows Side-by-Side (WinSxS) sehingga sistem operasi memuatnya alih-alih file yang sah.

Serangan tersebut memerlukan penggunaan versi lama dan usang dari solusi keamanan, perangkat lunak grafis, dan browser web yang pasti tidak memiliki mitigasi untuk pemuatan samping DLL, menggunakannya sebagai saluran untuk memuat kode shell arbitrer yang dirancang untuk mengeksekusi muatan tambahan.

Selain itu, paket perangkat lunak juga berfungsi ganda sebagai sarana untuk memberikan alat untuk memfasilitasi pencurian kredensial dan pergerakan lateral di seluruh jaringan yang disusupi.

“Aktor ancaman memanfaatkan PsExec untuk menjalankan versi lama dari perangkat lunak sah yang kemudian digunakan untuk memuat alat malware tambahan seperti Trojan akses jarak jauh (RATS) yang tersedia melalui pemuatan samping DLL pada komputer lain di jaringan,” para peneliti mencatat.

Dalam salah satu serangan terhadap organisasi milik pemerintah di sektor pendidikan di Asia berlangsung dari April hingga Juli 2022, di mana musuh mengakses mesin hosting database dan email, sebelum mengakses pengontrol domain.

Penyusupan tersebut juga memanfaatkan Bitdefender Crash Handler (“javac.exe”) versi 11 tahun untuk meluncurkan versi Mimikatz (“calc.exe”) yang telah diganti namanya, kerangka kerja pengujian penetrasi Golang open source yang disebut LadonGo, dan muatan khusus lainnya di beberapa host.

Salah satunya adalah pencuri informasi kaya fitur yang sebelumnya tidak berdokumen yang dijuluki Logdatter yang mampu mencatat penekanan tombol, menangkap tangkapan layar, menghubungkan dan menanyakan database SQL, mengunduh file, dan mencuri data clipboard.

Dalam serangan, itu adalah alat pemindaian intranet yang tersedia untuk umum bernama Fscan untuk melakukan upaya eksploitasi yang memanfaatkan kerentanan ProxyLogon Microsoft Exchange Server.

Identitas kelompok ancaman tidak jelas, meskipun dikatakan telah menggunakan ShadowPad dalam kampanye sebelumnya, Backdoor modular yang dibuat sebagai penerus PlugX (alias Korplug) dan dibagikan di antara banyak aktor ancaman China.

Symantec mengatakan memiliki bukti terbatas yang menghubungkan serangan aktor ancaman sebelumnya yang melibatkan malware PlugX dengan kelompok peretas China lainnya seperti APT41 (alias Wicked Panda) dan Mustang Panda. Terlebih lagi, penggunaan file Bitdefender yang sah untuk melakukan sideload shellcode telah diamati pada serangan sebelumnya yang dikaitkan dengan APT41.

Sumber: The Hackernews

Pelanggaran software maker digunakan untuk backdoor sebanyak 200.000 server

by

Fishpig software maker e-commerce yang berbasis di Inggris dan digunakan oleh sebanyak 200.000 situs web, mendesak pelanggan untuk menginstal ulang atau memperbarui semua ekstensi program yang ada setelah menemukan pelanggaran keamanan pada server distribusinya yang memungkinkan para penjahat diam-diam melakukan backdoor sistem pelanggan.

Pelaku ancaman yang tidak dikenal menggunakan kendali mereka atas sistem FishPig untuk melakukan serangan rantai pasokan yang menginfeksi sistem pelanggan dengan Rekoobe, Backdoor canggih yang ditemukan pada bulan Juni.

Rekoobe menyamar sebagai server SMTP jinak dan dapat diaktifkan dengan perintah rahasia yang terkait dengan penanganan perintah startTLS dari penyerang melalui Internet. Setelah diaktifkan, Rekoobe menyediakan shell terbalik yang memungkinkan aktor ancaman untuk mengeluarkan perintah dari jarak jauh ke server yang terinfeksi.

FishPig adalah penjual integrasi Magento-WordPress. Magento adalah platform e-commerce open source yang digunakan untuk mengembangkan pasar online.

Tideswell mengatakan komitmen perangkat lunak terakhir yang dibuat ke servernya yang tidak menyertakan kode berbahaya dibuat pada 6 Agustus, membuat tanggal sedini mungkin kemungkinan terjadinya pelanggaran. Sansec, perusahaan keamanan yang menemukan pelanggaran dan pertama kali melaporkannya, mengatakan penyusupan itu dimulai pada atau sebelum 19 Agustus.

Tideswell mengatakan FishPig telah “mengirim email ke semua orang yang telah mengunduh sesuatu dari FishPig.co.uk dalam 12 minggu terakhir memperingatkan mereka atas apa yang terjadi.”

Dalam pengungkapan yang diterbitkan setelah Sansec advisory ditayangkan, FishPig mengatakan bahwa penyusup menggunakan akses mereka untuk menyuntikkan kode PHP berbahaya ke dalam file Helper/License.php yang disertakan di sebagian besar ekstensi FishPig.

Setelah diluncurkan, Rekoobe menghapus semua file malware dari disk dan hanya berjalan di memori. Untuk bersembunyi lebih lanjut, ia bersembunyi sebagai proses sistem yang mencoba meniru salah satu dari berikut ini:

/usr/sbin/cron -f
/sbin/udevd -d
crond
auditd
/usr/sbin/rsyslogd
/usr/sbin/atd
/usr/sbin/acpid
dbus-daemon –system
/sbin/init
/usr/sbin/chronyd
/usr/libexec/postfix/master
/usr/lib/packagekit/packagekitd

Backdoor kemudian menunggu perintah dari server yang terletak di 46.183.217.2. Perusahaan keamanan mencurigai bahwa pelaku ancaman mungkin berencana untuk menjual akses ke toko yang terkena dampak secara massal di forum peretasan.

Baik Sansec dan FishPig mengatakan pelanggan harus berasumsi bahwa semua modul atau ekstensi terinfeksi. FishPig merekomendasikan pengguna untuk segera memutakhirkan semua modul FishPig atau menginstalnya kembali dari sumber untuk memastikan tidak ada kode yang terinfeksi yang tersisa. Langkah-langkah khusus meliputi:

Instal Ulang Ekstensi FishPig (Pertahankan Versi)
rm -rf vendor/fishpig && composer clear-cache && composer install –no-cache
Tingkatkan Ekstensi FishPig
rm -rf vendor/fishpig && composer clear-cache && composer update fishpig/* –no-cache
Hapus File Trojan
Jalankan perintah di bawah ini dan kemudian restart server Anda.
rm -rf /tmp/.varnish7684

Sansec menyarankan pelanggan untuk menonaktifkan sementara ekstensi Fishpig berbayar, menjalankan pemindai malware sisi server untuk mendeteksi malware yang diinstal atau aktivitas tidak sah, dan kemudian memulai ulang server untuk menghentikan proses latar belakang yang tidak sah.

Selengkapnya : Arstechnica

Apple memperbaiki zero-day kedelapan yang digunakan untuk meretas iPhone dan Mac tahun ini

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day kedelapan yang digunakan dalam serangan terhadap iPhone dan Mac sejak awal tahun.

Dalam peringatan keamanan yang dikeluarkan pada hari Senin, Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan ini “mungkin telah dieksploitasi secara aktif.”

Bug (dilacak sebagai CVE-2022-32917) dapat memungkinkan aplikasi yang dibuat dengan jahat untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Dilaporkan ke Apple oleh peneliti anonim, masalah ini ditangani di iOS 15.7 dan iPadOS 15.7, macOS Monterey 12.6, dan macOS Big Sur 11.7 dengan pemeriksaan batas yang ditingkatkan.

Daftar lengkap perangkat yang terkena dampak meliputi:

  • iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
  • Mac yang menjalankan macOS Big Sur 11.7 dan macOS Monterey 12.6

Apple juga mem-backport patch untuk zero-day lainnya (CVE-2022-32894) ke Mac yang menjalankan macOS Big Sur 11.7 setelah merilis pembaruan keamanan tambahan pada 31 Agustus untuk mengatasi bug yang sama pada versi iOS yang berjalan di iPhone dan iPad lama.

Meskipun Apple mengungkapkan eksploitasi aktif kerentanan ini di alam liar, perusahaan belum merilis informasi apa pun mengenai serangan ini.

Dengan menolak untuk merilis info ini, Apple kemungkinan ingin mengizinkan sebanyak mungkin pelanggan untuk menambal perangkat mereka sebelum penyerang lain mengembangkan eksploitasi mereka sendiri dan mulai menyebarkannya dalam serangan yang menargetkan iPhone dan Mac yang rentan.

Meskipun zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan sesegera mungkin masih sangat disarankan untuk memblokir upaya serangan.

Sumber: Bleeping Computer