Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Ratusan database Elasticsearch ditargetkan dalam serangan tebusan

by

Peretas telah menargetkan basis data Elasticsearch yang tidak aman dan mengganti 450 indeks dengan catatan tebusan yang meminta $620 untuk memulihkan konten, dengan total permintaan $279.000.

Pelaku ancaman menetapkan tenggat waktu tujuh hari untuk pembayaran dan mengancam akan melipatgandakan permintaan setelah itu. Jika satu minggu lagi berlalu tanpa dibayar, mereka mengatakan korban akan kehilangan indeks.

Mereka yang membayar sejumlah itu dijanjikan tautan unduhan ke dump basis data mereka yang konon akan membantu memulihkan struktur data ke bentuk aslinya dengan cepat.

Kampanye ini ditemukan oleh analis ancaman di Secureworks, yang mengidentifikasi lebih dari 450 permintaan individu untuk pembayaran tebusan.

Menurut Secureworks, pelaku ancaman menggunakan skrip otomatis untuk mengurai basis data yang tidak dilindungi, menghapus data mereka, dan menambahkan uang tebusan, sehingga tampaknya tidak ada keterlibatan manual dalam operasi ini.

Catatan tebusan dijatuhkan pada basis data yang dihapus (Secureworks)

Kampanye ini bukanlah hal baru, dan kami telah melihat serangan oportunistik serupa beberapa kali sebelumnya, dan juga terhadap sistem manajemen basis data lainnya [1, 2, 3].

Memulihkan konten basis data dengan membayar peretas adalah skenario yang tidak mungkin, karena tantangan praktis dan finansial bagi penyerang untuk menyimpan data dari begitu banyak basis data tidak mungkin dilakukan.

Sebaliknya, pelaku ancaman hanya menghapus isi dari database yang tidak dilindungi dan meninggalkan catatan tebusan, berharap korban akan percaya klaim mereka. Sejauh ini, salah satu alamat dompet Bitcoin yang terlihat di catatan tebusan telah menerima satu pembayaran.

Salah satu alamat Bitcoin yang digunakan dalam kampanye (Blockchain.com)

Namun, bagi pemilik data, jika mereka tidak melakukan pencadangan rutin, kehilangan segalanya dari penghapusan semacam itu kemungkinan besar akan menyebabkan kerugian finansial yang signifikan.

Beberapa dari basis data ini mendukung layanan online, jadi selalu ada risiko gangguan bisnis yang dapat menghabiskan biaya lebih banyak daripada jumlah kecil yang diminta oleh para penjahat.

Selain itu, organisasi tidak boleh mengecualikan kemungkinan bahwa penyusup mencuri data untuk memonetisasinya dengan berbagai cara.

Sayangnya, selama database terbuka di depan publik internet tanpa mengamankannya dengan benar, serangan oportunistik ini akan terus menargetkan mereka.

Laporan terbaru oleh Group-IB menunjukkan bahwa lebih dari 100.000 instans Elasticsearch ditemukan terpapar di web pada tahun 2021, terhitung sekitar 30% dari total 308.000 database yang terpapar pada tahun 2021.

Jumlah total database yang terpapar yang terdeteksi dari awal tahun 2021 (Group-IB)

Menurut laporan yang sama, admin basis data membutuhkan rata-rata 170 hari untuk menyadari bahwa mereka telah melakukan kesalahan konfigurasi, menyisakan banyak waktu bagi pelaku jahat untuk melakukan serangan.

Seperti yang digarisbawahi oleh Secureworks, tidak ada database yang boleh dilihat oleh publik kecuali jika penting untuk peran mereka. Selain itu, jika akses jarak jauh diperlukan, admin harus mengatur otentikasi multi-faktor untuk pengguna yang berwenang dan membatasi akses hanya untuk individu yang relevan.

Organisasi yang mengalihdayakan layanan ini ke penyedia cloud harus memastikan bahwa kebijakan keamanan vendor kompatibel dengan standar mereka dan bahwa semua data terlindungi secara memadai.

Sumber: Bleeping Computer

Pencarian Windows baru zero-day ditambahkan ke mimpi buruk protokol Microsoft

by

Kerentanan zero-day Windows Search yang baru dapat digunakan untuk secara otomatis membuka jendela pencarian yang berisi executable malware yang di-host dari jarak jauh hanya dengan meluncurkan dokumen Word.

Masalah keamanan dapat dimanfaatkan karena Windows mendukung penangan protokol URI yang disebut ‘search-ms’ yang memungkinkan aplikasi dan tautan HTML untuk meluncurkan pencarian yang disesuaikan pada perangkat.

Sementara sebagian besar pencarian Windows akan melihat pada indeks perangkat lokal, juga dimungkinkan untuk memaksa Pencarian Windows untuk menanyakan pembagian file pada host jarak jauh dan menggunakan judul khusus untuk jendela pencarian.

Misalnya, kumpulan alat Sysinternals yang populer memungkinkan Anda memasang live.sysinternals.com dari jarak jauh sebagai jaringan berbagi untuk meluncurkan utilitas mereka. Untuk mencari berbagi jarak jauh ini dan hanya mencantumkan file yang cocok dengan nama tertentu, Anda dapat menggunakan URI ‘search-ms’ berikut:

search-ms:query=proc&crumb=lokasi:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Seperti yang dapat Anda lihat dari perintah di atas, variabel ‘crumb’ search-ms menentukan lokasi yang akan dicari, dan variabel ‘displayname’ menentukan judul pencarian.

Jendela pencarian yang disesuaikan akan muncul ketika perintah ini dijalankan dari dialog Run atau bilah alamat browser web pada Windows 7, Windows 10, dan Windows 11, seperti yang ditunjukkan di bawah ini.

Pencarian Windows pada berbagi file jarak jauh
Sumber: BleepingComputer

Perhatikan bagaimana judul jendela diatur ke nama tampilan ‘Searching Sysinternals’ yang kami tentukan di URI ms pencarian.

Pelaku ancaman dapat menggunakan pendekatan yang sama untuk serangan berbahaya, di mana email phishing dikirim dengan berpura-pura sebagai pembaruan keamanan atau patch yang perlu diinstal.

Mereka kemudian dapat mengatur berbagi Windows jarak jauh yang dapat digunakan untuk meng-host malware yang disamarkan sebagai pembaruan keamanan dan kemudian menyertakan URI ms pencarian dalam lampiran phishing atau email mereka.

Namun, tidak mudah untuk membuat pengguna mengklik URL seperti ini, terutama ketika muncul peringatan, seperti yang ditunjukkan di bawah ini.

Peringatan browser saat meluncurkan penangan protokol URI
Sumber: BleepingComputer

Tetapi salah satu pendiri dan peneliti keamanan Hacker House Matthew Hickey menemukan cara dengan menggabungkan kelemahan objek Microsoft Office OLEO yang baru ditemukan dengan pengendali protokol pencarian-ms untuk membuka jendela pencarian jarak jauh hanya dengan membuka dokumen Word.

Minggu ini, para peneliti menemukan bahwa pelaku ancaman memanfaatkan kerentanan zero-day Windows baru di Microsoft Windows Support Diagnostic Tool (MSDT). Untuk mengeksploitasinya, pelaku ancaman membuat dokumen Word berbahaya yang meluncurkan pengendali protokol URI ‘ms-msdt’ untuk menjalankan perintah PowerShell hanya dengan membuka dokumen.

Diidentifikasi sebagai CVE-2022-30190, cacat memungkinkan untuk memodifikasi dokumen Microsoft Office untuk melewati Tampilan Terproteksi dan meluncurkan penangan protokol URI tanpa interaksi oleh pengguna, yang hanya akan menyebabkan penyalahgunaan lebih lanjut terhadap penangan protokol.

Ini terlihat kemarin ketika Hickey mengonversi eksploitasi Microsoft Word MSDT yang ada untuk menggunakan pengendali protokol pencarian-ms yang kami jelaskan sebelumnya.

Dengan PoC baru ini, ketika pengguna membuka dokumen Word, maka secara otomatis akan meluncurkan perintah ‘search-ms’ untuk membuka jendela Pencarian Windows yang mencantumkan executable pada share SMB jarak jauh. Pembagian ini dapat diberi nama apa pun yang diinginkan oleh pelaku ancaman, seperti ‘Pembaruan Penting’, yang mendorong pengguna untuk menginstal malware yang terdaftar.

Seperti eksploitasi MSDT, Hickey juga menunjukkan bahwa Anda dapat membuat versi RTF yang secara otomatis membuka jendela Pencarian Windows saat dokumen ditampilkan di panel pratinjau Explorer.

Dengan menggunakan jenis dokumen Word berbahaya ini, pelaku ancaman dapat membuat kampanye phishing yang rumit yang secara otomatis meluncurkan jendela Pencarian Windows di perangkat penerima untuk mengelabui mereka agar meluncurkan malware.

Meskipun eksploitasi ini tidak separah kerentanan eksekusi kode jarak jauh MS-MSDT, ini dapat menyebabkan penyalahgunaan oleh aktor ancaman yang rajin yang ingin membuat kampanye phishing yang canggih.

Untuk mengurangi kerentanan ini, Hickey mengatakan Anda dapat menggunakan mitigasi yang sama untuk eksploitasi ms-msdt – hapus pengendali protokol pencarian-ms dari Windows Registry.

  • Jalankan Command Prompt sebagai Administrator.
  • Untuk membuat cadangan kunci registri, jalankan perintah “reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg”
  • Jalankan perintah “reg delete HKEY_CLASSES_ROOT\search-ms /f”

Contoh penyalahgunaan MSDT dan search-ms bukanlah hal baru, awalnya diungkapkan oleh Benjamin Altpeter pada tahun 2020 dalam tesisnya tentang keamanan aplikasi Elektron.

Namun, baru-baru ini mereka mulai dijadikan senjata dalam dokumen Word untuk serangan phishing tanpa interaksi pengguna, yang mengubahnya menjadi kerentanan zero-day.

Berdasarkan panduan Microsoft untuk CVE-2022-30190, perusahaan tampaknya mengatasi kelemahan dalam penangan protokol dan fitur Windows yang mendasarinya, daripada fakta bahwa pelaku ancaman dapat menyalahgunakan Microsoft Office untuk meluncurkan URI ini tanpa interaksi pengguna.

Seperti yang dikatakan oleh analis kerentanan CERT/CC Will Dormann, eksploitasi ini sebenarnya memanfaatkan dua kelemahan yang berbeda. Tanpa memperbaiki masalah URI Microsoft Office, penangan protokol lebih lanjut akan disalahgunakan.

Hickey juga mengatakan bahwa ia percaya bahwa ini tidak selalu merupakan cacat pada protokol penangan, melainkan kombinasi yang mengarah ke ‘Microsoft Office OLEObject search-ms Location Path Spoofing Vulnerability.’

Pada bulan Juni, para peneliti secara tidak sengaja mengungkapkan detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan Windows Spooler RCE bernama PrintNightmare.

Sementara komponen RCE diperbaiki dengan cepat, berbagai kerentanan elevasi hak istimewa lokal ditemukan yang terus diungkapkan di bawah klasifikasi ‘PrintNightmare’.

Tidak sampai Microsoft membuat beberapa perubahan drastis pada Windows Printing yang akhirnya mereka kendalikan kelas kerentanan ini, meskipun menyebabkan banyak masalah pencetakan untuk beberapa waktu.

Dengan mengatasi masalah hanya di sisi fitur penangan protokol/Windows, Microsoft menghadapi klasifikasi ‘ProtocolNightmare’ yang sama sekali baru di mana para peneliti akan terus menemukan penangan URI baru untuk disalahgunakan dalam serangan.

Sampai Microsoft tidak memungkinkan untuk meluncurkan penangan URI di Microsoft Office tanpa interaksi pengguna, bersiaplah untuk serangkaian artikel berita serupa saat eksploitasi baru dirilis.

Sumber: Bleeping Computer

Microsoft Merilis Panduan Solusi untuk Kerentanan “Follina” MSDT

by

Pada hari Senin 30 Mei 2022, Microsoft mengeluarkan CVE-2022-30190 mengenai Microsoft Support Diagnostic Tool (MSDT) pada kerentanan Windows, pertama kali dilaporkan selama akhir pekan Memorial Day oleh para peneliti dengan vendor keamanan Jepang Nao Sec.

Peneliti keamanan Kevin Beaumont menamai kerentanan itu “Folina,” karena kode zero day merujuk 0438, yang merupakan kode area untuk Follina, Italia. Beaumont mencatat bahwa Defender for Endpoint tidak mendeteksi eksploit, yang mengambil file HTML dari server web jarak jauh dan memungkinkan eksekusi kode PowerShell.

Penyerang yang berhasil mengeksploitasi kerentanan dapat menjalankan kode arbitrer dengan hak istimewa aplikasi panggilan, dan kemudian dapat menginstal program, mengubah atau menghapus data, atau bahkan membuat akun baru yang diizinkan oleh hak pengguna, Microsoft memposting di blog keamanannya.

Untuk menonaktifkan Protokol URL MDST, Microsoft mengatakan pengguna harus:

  • Jalankan Command Prompt sebagai Administrator.
  • Untuk membuat cadangan kunci registri, jalankan perintah “reg export HKEY_CLASSES_ROOT\ms-msdt filename”
  • Jalankan perintah “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

Microsoft mengatakan pelanggan dengan Defender Antivirus harus mengaktifkan perlindungan yang diberikan cloud dan pengiriman sampel otomatis, sementara pelanggan Defender untuk Endpoint dapat mengaktifkan aturan pengurangan permukaan serangan “BlockOfficeCreateProcessRule” yang memblokir aplikasi Office dari membuat proses anak.

Badan Keamanan Cybersecurity dan Infrastruktur AS mengeluarkan peringatan pada hari Selasa di Follina, mendesak pengguna dan administrator untuk menerapkan solusi yang diperlukan.

Sumber: Microsoft Security Response Center

Microsoft Office baru zero-day digunakan dalam serangan untuk mengeksekusi PowerShell

by

Peneliti keamanan telah menemukan kerentanan zero-day Microsoft Office baru yang digunakan dalam serangan untuk mengeksekusi perintah PowerShell berbahaya melalui Microsoft Diagnostic Tool (MSDT) hanya dengan membuka dokumen Word.

Kerentanan, yang belum menerima nomor pelacakan dan disebut oleh komunitas infosec sebagai ‘Follina,’ dimanfaatkan menggunakan dokumen Word berbahaya yang menjalankan perintah PowerShell melalui MSDT.

Follina zero-day baru ini membuka pintu ke vektor serangan kritis baru yang memanfaatkan program Microsoft Office karena bekerja tanpa hak istimewa yang lebih tinggi, melewati deteksi Windows Defender, dan tidak memerlukan kode makro untuk diaktifkan untuk mengeksekusi binari atau skrip.

Jumat lalu, peneliti keamanan nao_sec menemukan dokumen Word berbahaya yang dikirimkan ke platform pemindaian Virus Total dari alamat IP di Belarus.

“Saya sedang berburu file di VirusTotal yang mengeksploitasi CVE-2021-40444. Kemudian saya menemukan file yang menyalahgunakan skema ms-msdt,” kata nao_sec

“Ini menggunakan tautan eksternal Word untuk memuat HTML dan kemudian menggunakan skema ‘ms-msdt’ untuk mengeksekusi kode PowerShell,” tambah peneliti dalam tweet, memposting tangkapan layar kode yang dikaburkan di bawah ini:

Kode muatan yang dikaburkan, sumber: nao_sec

Peneliti keamanan Kevin Beaumont mendeobfuscate kode dan menjelaskan dalam posting blog bahwa itu adalah string baris perintah yang dijalankan Microsoft Word menggunakan MSDT, bahkan jika skrip makro dinonaktifkan.

Muatan yang tidak disamarkan, sumber: Kevin Beaumont

Skrip PowerShell di atas akan mengekstrak file yang disandikan Base64 dari file RAR dan dijalankan. File ini tidak lagi tersedia, jadi tidak jelas aktivitas jahat apa yang dilakukan oleh serangan tersebut.

Beaumont mengklarifikasi lebih banyak hal dengan mengatakan bahwa dokumen Word berbahaya menggunakan fitur templat jarak jauh untuk mengambil file HTML dari server jauh.

Kode HTML kemudian menggunakan skema protokol MS-MSDT URI Microsoft untuk memuat kode tambahan dan mengeksekusi kode PowerShell.

Peneliti menambahkan bahwa fitur Tampilan Terlindungi di Microsoft Office, yang dirancang untuk memperingatkan file dari lokasi yang berpotensi tidak aman, diaktifkan untuk memperingatkan pengguna tentang kemungkinan dokumen berbahaya.

Namun, peringatan ini dapat dengan mudah dilewati dengan mengubah dokumen menjadi file Rich Text Format (RTF). Dengan demikian, kode yang dikaburkan dapat berjalan “bahkan tanpa membuka dokumen (melalui tab pratinjau di Explorer).”

Beberapa peneliti keamanan telah menganalisis dokumen berbahaya yang dibagikan oleh nao_sec dan berhasil mereproduksi eksploit dengan beberapa versi Microsoft Office.

Dalam analisis terpisah hari ini, para peneliti di perusahaan layanan keamanan siber Huntress menganalisis eksploitasi dan memberikan lebih banyak detail teknis tentang cara kerjanya.

Mereka menemukan bahwa dokumen HTML yang mengatur hal-hal yang bergerak berasal dari “xmlformats[.]com,” sebuah domain yang tidak lagi dimuat.

Huntress mengkonfirmasi temuan Beaumont bahwa dokumen RTF akan mengirimkan muatan tanpa interaksi apa pun dari pengguna (selain memilihnya), untuk apa yang umumnya dikenal sebagai “eksploitasi nol-klik.”

Payload Follina dieksekusi hanya dengan memilih dokumen RTF berbahaya, sumber: Huntress

Para peneliti mengatakan bahwa tergantung pada muatannya, penyerang dapat menggunakan eksploitasi ini untuk mencapai lokasi terpencil di jaringan korban

Ini akan memungkinkan penyerang untuk mengumpulkan hash dari kata sandi mesin Windows korban yang berguna untuk aktivitas pasca-eksploitasi lebih lanjut.

Bug Microsoft Office dapat membantu mengumpulkan hash kata sandi Windows, sumber: Huntress

Beaumont memperingatkan bahwa deteksi untuk metode eksploitasi baru ini “mungkin tidak akan bagus,” dengan alasan bahwa kode berbahaya dimuat dari template jarak jauh, sehingga dokumen Word yang dibawa tidak akan ditandai sebagai ancaman karena tidak menyertakan file berbahaya. kode, hanya referensi untuk itu.

Untuk mendeteksi serangan melalui vektor ini, Huntress menunjuk ke proses pemantauan pada sistem karena muatan Follina membuat proses anak ‘msdt.exe’ di bawah induk Microsoft Office yang menyinggung.

Untuk organisasi yang mengandalkan aturan Pengurangan Permukaan Serangan (ASR) Microsoft Defender, Huntress menyarankan untuk mengaktifkan “Blokir semua aplikasi Office agar tidak membuat proses anak” dalam mode Blokir, yang akan mencegah eksploitasi Follina.

Menjalankan aturan dalam mode Audit terlebih dahulu dan memantau hasilnya disarankan sebelum menggunakan ASR, untuk memastikan bahwa pengguna akhir tidak mengalami efek samping.

Mitigasi lain, dari Didier Stevens, adalah menghapus asosiasi tipe file untuk ms-msdt sehingga Microsoft Office tidak akan dapat memanggil alat tersebut saat membuka dokumen Folina yang berbahaya.

Peneliti keamanan mengatakan bahwa kerentanan Follina tampaknya telah ditemukan dan dilaporkan ke Microsoft sejak April.

Menurut tangkapan layar yang diterbitkan oleh anggota Shadow Chaser Group – sebuah asosiasi mahasiswa yang berfokus pada memburu dan menganalisis ancaman persisten tingkat lanjut (APT), Microsoft diberitahu tentang kerentanan tetapi menolaknya sebagai “bukan masalah terkait keamanan.”

Argumen Microsoft untuk ini adalah bahwa sementara ‘msdt.exe’ memang dieksekusi, diperlukan kode sandi saat memulai dan perusahaan tidak dapat mereplikasi eksploitasi.

Balasan Microsoft untuk laporan kerentanan Follina, sumber: CrazyMan_Army

Namun, pada 12 April, Microsoft menutup laporan pengiriman kerentanan (dilacak sebagai VULN-065524) dan mengklasifikasikannya “Masalah ini telah diperbaiki,” dengan dampak keamanan eksekusi kode jarak jauh.

Laporan April untuk Follina Microsoft Office RCE, sumber: CrazyMan_Army

Sumber: Bleeping Computer

Tiga warga Nigeria ditangkap karena kejahatan keuangan yang dibantu malware

by

Interpol telah mengumumkan penangkapan tiga pria Nigeria di Lagos, yang diduga menggunakan trojan akses jarak jauh (RAT) untuk mengubah rute transaksi keuangan dan mencuri kredensial akun.

Operasi internasional, dengan kode nama “Killer Bee,” dipimpin oleh Interpol dengan bantuan lembaga penegak hukum dari 11 negara Asia Tenggara.

Menurut sebuah laporan yang diterbitkan hari ini, target geng tersebut termasuk organisasi perusahaan besar dan perusahaan minyak & gas di Timur Tengah, Afrika Utara, dan Asia Tenggara.

Namun, Interpol tidak mengungkapkan berapa banyak uang yang berhasil dicuri geng dari organisasi yang menjadi korban.

Salah satu dari tiga pria yang ditangkap, Hendrix Omorume, menghadapi hukuman satu tahun penjara karena memiliki dokumen palsu, mendapatkan uang dengan kepura-puraan palsu, dan terlibat dalam peniruan identitas.

Dua pria lainnya, yang masih diadili, hanya menghadapi satu dakwaan memiliki dokumen palsu yang kemungkinan digunakan dalam serangan BEC (kompromi email bisnis).

“Tiga pria, berusia antara 31 dan 38 tahun, masing-masing ditangkap karena memiliki dokumen palsu, termasuk faktur palsu dan surat resmi palsu,” sebut pengumuman itu.

Tiga orang yang ditangkap (Interpol)

Pekan lalu, Interpol mengumumkan penangkapan tersangka pemimpin geng SilverTerrier BEC dalam operasi berbeda yang diberi nama sandi “Delilah.”

Interpol mengatakan laptop dan ponsel dari orang-orang yang ditangkap diperiksa secara menyeluruh, dan polisi menemukan tanda-tanda penyebaran Agen Tesla.

Agen Tesla adalah RAT yang telah ada selama beberapa tahun sekarang, berfungsi sebagai pencuri informasi dan keylogger yang kuat yang dapat mencuri kredensial yang disimpan di browser web, klien email, FTP, dan perangkat lunak lainnya.

Biasanya, itu menginfeksi target melalui email phishing berbahaya yang membawa lampiran berbahaya, yang terbaru, dokumen PowerPoint.

Dalam kasus ini, Omorume diyakini menggunakan Agen Tesla untuk mencuri kredensial akun di organisasi target, mengakses komunikasi email, dan melakukan pengawasan.

Ini diperlukan untuk meletakkan dasar bagi serangan BEC yang sukses, karena pelaku kejahatan tahu kapan harus menyerang dan detail meyakinkan apa yang harus diberikan kepada korban.

Perlu juga dicatat bahwa Agen Tesla melihat penyebaran luas saat ini, dengan laporan deteksi malware ASEC baru-baru ini menempatkan malware di daftar teratas, di atas Formbook, RedLine, Lokibot, Wakbot, dan AveMaria.

Sumber: Bleeping Computer

Microsoft menemukan bug parah di aplikasi Android dari penyedia seluler besar

by

Peneliti keamanan Microsoft telah menemukan kerentanan tingkat keparahan yang tinggi dalam kerangka kerja yang digunakan oleh aplikasi Android dari beberapa penyedia layanan seluler internasional yang besar.

Para peneliti menemukan kerentanan ini (dilacak sebagai CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, dan CVE-2021-42601) dalam kerangka kerja seluler yang dimiliki oleh Sistem mce yang memaparkan pengguna pada serangan injeksi perintah dan eskalasi hak istimewa .

Aplikasi rentan memiliki jutaan unduhan di Google Play Store dan sudah diinstal sebelumnya sebagai aplikasi sistem pada perangkat yang dibeli dari operator telekomunikasi yang terpengaruh, termasuk AT&T, TELUS, Rogers Communications, Bell Canada, dan Freedom Mobile.

“Semua aplikasi tersedia di Google Play Store yang melalui pemeriksaan keamanan otomatis Google Play Protect, tetapi pemeriksaan ini sebelumnya tidak memindai jenis masalah ini.

“Seperti halnya dengan banyak aplikasi pra-instal atau default yang dimiliki sebagian besar perangkat Android akhir-akhir ini, beberapa aplikasi yang terpengaruh tidak dapat sepenuhnya dihapus atau dinonaktifkan tanpa mendapatkan akses root ke perangkat.”

Sementara vendor yang dihubungi Microsoft telah memperbarui aplikasi mereka untuk mengatasi bug sebelum kelemahan keamanan diungkapkan hari ini untuk melindungi pelanggan mereka dari serangan, aplikasi dari perusahaan telekomunikasi lain juga menggunakan kerangka kerja kereta yang sama.

“Beberapa penyedia layanan seluler lainnya ditemukan menggunakan kerangka kerja rentan dengan aplikasi masing-masing, menunjukkan bahwa mungkin ada penyedia tambahan yang masih belum ditemukan yang mungkin terpengaruh,” tambah para peneliti.

Microsoft menambahkan bahwa beberapa perangkat Android mungkin juga terkena serangan yang mencoba menyalahgunakan kelemahan ini jika aplikasi Android (dengan nama paket com.mce.mceiotraceagent) diinstal “oleh beberapa bengkel ponsel.”

Mereka yang menemukan aplikasi ini terinstal di perangkat mereka disarankan untuk segera menghapusnya dari ponsel mereka untuk menghapus vektor serangan.

“Kerentanan, yang memengaruhi aplikasi dengan jutaan unduhan, telah diperbaiki oleh semua pihak yang terlibat,” kata para peneliti.

“Ditambah dengan hak istimewa sistem ekstensif yang dimiliki aplikasi pra-instal, kerentanan ini bisa menjadi vektor serangan bagi penyerang untuk mengakses konfigurasi sistem dan informasi sensitif.”

Sumber: Bleeping Computer

Tagged With:

Deteksi trojan seluler meningkat saat tingkat distribusi malware menurun

by

Laporan triwulanan Kaspersky tentang distribusi malware seluler mencatat tren penurunan yang dimulai pada akhir tahun 2020. Terlepas dari penurunan volume malware secara keseluruhan, perusahaan keamanan melaporkan lonjakan distribusi trojan, termasuk trojan generik, trojan perbankan, dan spyware.

Perkembangan yang mengkhawatirkan ini menggarisbawahi peningkatan fokus pada operasi yang lebih canggih dan merusak yang secara bertahap menggantikan adware dan “alat risiko” dengan hasil rendah.

Adware dan “alat risiko” tetap menjadi yang paling umum dalam hal volume distribusi, dengan yang terakhir menyumbang hampir setengah dari semua upaya infeksi malware seluler yang terdeteksi oleh Kaspersky pada Q1 2022.

Jenis malware yang didistribusikan pada kuartal terakhir (Kaspersky)

Deteksi trojan mobile banking telah meningkat sekitar 40% dibandingkan dengan kuartal sebelumnya, dan jumlahnya dua kali lipat dibandingkan dengan data Q1 2021.

Jenis malware ini biasanya melapisi layar login di atas aplikasi perbankan atau manajemen cryptocurrency yang sah untuk mencuri kredensial akun orang.

Trojan perbankan menjadi lebih luas dan murah tersedia di forum peretasan dan saluran Telegram, sehingga adopsi mereka oleh penjahat cyber berketerampilan rendah meningkat.

Menurut Kaspersky, keluarga baru yang mendorong angka distribusi ke atas pada kuartal ini adalah yang mereka lacak sebagai “Trojan-Banker.AndroidOS.Bray”, yang menyumbang 81% dari semua deteksi trojan seluler pada kuartal pertama tahun ini.

Kaspersky telah memperhatikan beberapa tren menarik di awal tahun ini, yang paling menonjol adalah peningkatan aplikasi penipuan yang didorong melalui saluran toko aplikasi resmi seperti Google Play Store.

Pada kuartal pertama tahun 2022, scammers mengeksploitasi invasi Rusia ke Ukraina untuk menawarkan aplikasi manfaat publik palsu yang menjanjikan bantuan keuangan sebagai tanggapan terhadap sanksi dan pembatasan transaksi. Namun, aplikasi ini hanya mencuri uang pengguna dengan mengarahkan mereka ke situs web eksternal yang berbahaya.

Aplikasi penipuan terlihat di Play Store pada bulan-bulan sebelumnya (Kaspersky)

Ancaman lain yang disorot adalah aplikasi pinjaman bayaran agresif yang menargetkan sebagian besar pengguna di India, Brasil, dan Meksiko.

Kaspersky mengklasifikasikan ini sebagai “RiskTool.AndroidOS.SpyLoan”, dan mengatakan aplikasi ini meminta akses ke daftar kontak pengguna, SMS, dan foto selama instalasi. Jika pembayaran terlambat, informasi ini digunakan untuk pemerasan.

Aplikasi pinjaman bayaran dilaporkan terlibat dalam pemerasan (Kaspersky)

Dalam beberapa kasus, telah dilaporkan bahwa agen penagih utang yang bekerja untuk platform ini memanggil orang-orang dari daftar kontak pengguna untuk mengekspos mereka dan meningkatkan tekanan untuk membayar utang.

Dalam kasus lain, bahkan lebih ekstrim, pengguna aplikasi ini terkunci dari ponsel mereka jika mereka melewatkan pembayaran, menggemakan ancaman ransomware.

Perkembangan dan kondisi yang memicu tren yang berlangsung pada kuartal terakhir tetap tidak berubah, sehingga distribusi trojan diperkirakan akan terus menggantikan ancaman yang ditandai sebagai adware dan riskware.

Sumber:

Malware EnemyBot menambahkan eksploitasi untuk VMware kritis, kelemahan F5 BIG-IP

by

EnemyBot, botnet berdasarkan kode dari beberapa bagian malware, memperluas jangkauannya dengan cepat menambahkan eksploitasi untuk kerentanan kritis yang baru-baru ini diungkapkan di server web, sistem manajemen konten, IoT, dan perangkat Android.

Botnet pertama kali ditemukan pada bulan Maret oleh para peneliti di Securonix dan pada bulan April, ketika analisis sampel yang lebih baru muncul dari Fortinet, EnemyBot telah mengintegrasikan kelemahan untuk lebih dari selusin arsitektur prosesor.

Tujuan utamanya adalah meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan malware juga memiliki modul untuk memindai perangkat target baru dan menginfeksinya.

Sebuah laporan baru dari AT&T Alien Labs mencatat bahwa varian terbaru dari EnemyBot menggabungkan eksploitasi untuk 24 kerentanan. Sebagian besar dari mereka kritis tetapi ada beberapa yang bahkan tidak memiliki nomor CVE, yang mempersulit para pembela HAM untuk menerapkan perlindungan.

Pada bulan April, sebagian besar kelemahan yang terkait dengan router dan perangkat IoT, dengan CVE-2022-27226 (iRZ) dan CVE-2022-25075 (TOTOLINK) menjadi salah satu yang terbaru dan Log4Shell menjadi yang paling menonjol.

Namun, varian baru yang dianalisis oleh AT&T Alien Labs menyertakan eksploitasi untuk masalah keamanan berikut:

  • CVE-2022-22954: Cacat eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager. Eksploitasi PoC (bukti konsep) tersedia pada April 2022.
  • CVE-2022-22947: Cacat eksekusi kode jarak jauh di Musim Semi, diperbaiki sebagai zero-day pada Maret 2022, dan ditargetkan secara besar-besaran sepanjang April 2022.
  • CVE-2022-1388: Kelemahan eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada F5 BIG-IP, mengancam titik akhir yang rentan dengan pengambilalihan perangkat. PoC pertama muncul di alam liar pada Mei 2022, dan eksploitasi aktif segera dimulai.
Penambahan CVE-2022-22954 dalam kode EnemyBot (AT&T)

Melihat daftar perintah yang didukung oleh versi malware yang lebih baru, RSHELL menonjol, digunakan untuk membuat shell terbalik pada sistem yang terinfeksi. Ini memungkinkan aktor ancaman untuk melewati batasan firewall dan mendapatkan akses ke mesin yang disusupi.

Semua perintah yang terlihat di versi sebelumnya masih ada, menawarkan daftar opsi yang kaya tentang serangan DDoS.

Keksec, grup di belakang EnemyBot, secara aktif mengembangkan malware dan memiliki proyek jahat lainnya: Tsunami, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Tampaknya ini adalah pembuat malware berpengalaman yang menunjukkan perhatian khusus pada proyek terbaru, menambahkan eksploitasi kerentanan baru segera setelah muncul, seringkali sebelum admin sistem memiliki kesempatan untuk menerapkan perbaikan.

Lebih buruk lagi, AT&T melaporkan bahwa seseorang, yang kemungkinan besar berafiliasi dengan Keksec, telah merilis kode sumber EnemyBot, membuatnya tersedia untuk semua musuh.

Rekomendasi untuk melindungi dari jenis ancaman ini termasuk menambal produk perangkat lunak segera setelah pembaruan tersedia dan memantau lalu lintas jaringan, termasuk koneksi keluar.

Saat ini, tujuan utama EnemyBot adalah serangan DDoS tetapi kemungkinan lain juga harus dipertimbangkan (misalnya cryptomining, akses), terutama karena malware sekarang menargetkan perangkat yang lebih kuat.

Sumber: Bleeping Computer