Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware RapperBot yang Diperbarui Menargetkan Server Game Dalam Serangan DDoS

by

Botnet berbasis Mirai ‘RapperBot’ telah muncul kembali melalui kampanye baru yang menginfeksi perangkat IoT untuk serangan DDoS (Distributed Denial of Service) terhadap server game.

Dengan menelusuri aktivitasnya, para peneliti menemukan bahwa RapperBot telah beroperasi sejak Mei 2021, tetapi tujuan pastinya sulit diuraikan.

Alur Waktu Kampanye RapperBot (Fortinet)

Varian terbaru menggunakan mekanisme self-propagation Telnet sebagai gantinya, yang lebih dekat dengan pendekatan malware Mirai asli.

Mengangkat tutup RapperBot
Analis Fortinet dapat mencicipi varian baru menggunakan artefak komunikasi C2 yang dikumpulkan dalam kampanye sebelumnya, menunjukkan bahwa aspek operasi botnet ini tidak berubah.

Malware mencoba untuk memaksa perangkat menggunakan kredensial lemah umum dari daftar hardcoded, padahal sebelumnya, ia mengambil daftar dari C2.

“Untuk mengoptimalkan upaya pemaksaan kasar, malware membandingkan prompt server saat terhubung ke daftar string yang dikodekan keras untuk mengidentifikasi perangkat yang mungkin dan kemudian hanya mencoba kredensial yang diketahui untuk perangkat itu,” jelas Fortinet.

Setelah berhasil menemukan kredensial, ia melaporkannya ke C2 melalui port 5123 dan kemudian mencoba mengambil dan menginstal versi biner muatan utama yang benar untuk arsitektur perangkat yang terdeteksi.

Kemampuan DoS dalam varian lama RapperBot sangat terbatas dan umum sehingga para peneliti berhipotesis bahwa operatornya mungkin lebih tertarik pada bisnis akses awal.

Namun, dalam varian terbaru, sifat sebenarnya dari malware tersebut telah menjadi jelas dengan penambahan serangkaian perintah serangan DoS.

Berdasarkan metode HTTP DoS, malware tersebut tampaknya berspesialisasi dalam meluncurkan serangan terhadap server game.

Kemungkinan operator yang sama
Fortinet yakin semua kampanye RapperBot yang terdeteksi diatur oleh operator yang sama, karena varian yang lebih baru menunjukkan akses ke kode sumber malware.

Selain itu, protokol komunikasi C2 tetap tidak berubah, daftar kredensial yang digunakan untuk upaya pemaksaan tetap sama sejak Agustus 2021,

Untuk melindungi perangkat IoT Anda dari infeksi botnet, selalu perbarui firmware, ubah kredensial default dengan kata sandi yang kuat dan unik, dan tempatkan di belakang firewall jika memungkinkan.

sumber : bleeping computer

Microsoft Memperbaiki Masalah Konektivitas Windows DirectAccess

by

Microsoft telah menyelesaikan masalah umum yang menyebabkan masalah konektivitas bagi pelanggan Windows yang menggunakan layanan DirectAccess untuk mengakses organisasi mereka dari jarak jauh tanpa menggunakan jaringan pribadi virtual (VPN).

Skenario yang dapat menyebabkan masalah umum ini termasuk beralih antara titik akses atau jaringan Wi-Fi dan kehilangan konektivitas jaringan untuk sementara.

Masalah ini seharusnya tidak memengaruhi solusi akses jarak jauh lainnya seperti VPN (terkadang disebut Server Akses Jarak Jauh atau RAS) dan VPN Selalu Aktif (AOVPN), metode koneksi jarak jauh yang direkomendasikan untuk Windows 10 atau lebih baru.

Daftar platform yang terpengaruh mencakup rilis Windows klien dan server:

  • Client: Windows 11, version 22H2; Windows 10, version 22H2; Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10 Enterprise LTSC 2019
  • ​Server: Windows Server 2022; Windows Server 2019

Diperbaiki melalui Rollback Masalah yang Diketahui
Microsoft telah mengatasi masalah ini melalui Known Issue Rollback (KIR), kemampuan Windows yang memungkinkan mengembalikan perbaikan non-keamanan Windows yang bermasalah yang diluncurkan menggunakan Pembaruan Windows

Prosedur yang diperlukan untuk menyebarkan perbaikan KIR melalui Kebijakan Grup mengharuskan membuka Editor Kebijakan Grup dan menavigasi ke Kebijakan Komputer Lokal atau kebijakan Domain pada pengontrol domain Anda untuk memilih versi Windows yang ingin Anda targetkan.

sumber : bleeping computer

Microsoft Memperingatkan Fitur Konektivitas Jarak Jauh Direct Access.

by

Microsoft terus memperbaiki masalah yang muncul setelah pengguna menginstal pembaruan terbaru untuk Windows 10 dan 11 – termasuk yang menyebabkan masalah dengan fitur konektivitas jarak jauh Direct Access.

Akses Langsung memungkinkan pekerja jarak jauh untuk terhubung ke sumber daya di jaringan perusahaan tanpa menggunakan koneksi VPN tradisional. Ini dirancang untuk memastikan bahwa klien jarak jauh selalu terhubung tanpa harus memulai dan menghentikan koneksi. Administrator TI juga dapat mengelola sistem klien dari jarak jauh menggunakan Akses Langsung saat mereka berjalan dan tersambung ke internet.

Untuk perangkat yang dikelola oleh perusahaan, administrator TI dapat menginstal dan mengonfigurasi kebijakan grup khusus yang ditemukan dengan membuka Konfigurasi Komputer > Template Administratif > Nama Kebijakan Grup.

Bug memengaruhi klien yang menjalankan Windows 11 22H2 dan 21H1, Windows 10 versi 22H2, 21H1, dan 20H2, serta Windows 10 Enterprise LTSC 2019. Juga terpengaruh adalah Windows Server 2022 dan 2019.

Masalah dapat mencakup kegagalan login pengguna domain, masalah dengan autentikasi Layanan Federasi Direktori Aktif, masalah dengan Akun Layanan Terkelola Grup yang gagal diautentikasi, dan koneksi desktop jarak jauh menggunakan pengguna domain yang tidak tersambung.

Sistem Windows dengan bug akan melihat ID Peristiwa Microsoft-Windows-Kerberos-Key-Distribution-Center 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka.

Microsoft menempatkan penangguhan kompatibilitas pada perangkat yang terpengaruh untuk memastikan mereka tidak menginstal versi 22H2, dan merekomendasikan agar pengguna yang telah memutakhirkan harus memperbarui aplikasi dan game ke versi terbaru yang tersedia saat perusahaan sedang memperbaiki.

sumber : the register

PCspooF: Kerentanan Baru Mempengaruhi Jaringan Pesawat Luar Angkasa dan Pesawat Terbang

by

Sebuah metode serangan baru telah diungkapkan terhadap bagian penting dari teknologi yang disebut time-triggered ethernet (TTE) yang digunakan dalam infrastruktur penting keselamatan, yang berpotensi menyebabkan kegagalan sistem yang menggerakkan pesawat ruang angkasa dan pesawat terbang.

TTE adalah salah satu teknologi jaringan yang merupakan bagian dari apa yang disebut jaringan kekritisan campuran di mana lalu lintas dengan persyaratan waktu dan toleransi kesalahan yang berbeda hidup berdampingan dalam jaringan fisik yang sama. Ini berarti bahwa kedua perangkat kritis, yang memungkinkan kontrol kendaraan, dan perangkat non-kritis, yang digunakan untuk pemantauan dan pengumpulan data, berbagi jaringan yang sama.

Keuntungan yang jelas dari pendekatan ini adalah kenyataan bahwa ada persyaratan bobot dan daya yang lebih rendah serta biaya pengembangan dan waktu yang lebih rendah karena hanya mengandalkan satu teknologi. Tapi ini juga datang dengan kekurangannya sendiri.

ilustrasi level tinggi PCspooF

“Pendekatan kekritisan campuran ini memberi lebih banyak tekanan pada desain jaringan untuk memberikan isolasi,” Andrew Loveless, penulis utama studi tersebut,

Protokol jaringan dan perangkat keras perlu melakukan pekerjaan ekstra untuk memastikan lalu lintas kritis selalu dijamin berhasil dan tepat waktu.”

Selagi perangkat penting dalam jaringan harus melalui pemeriksaan menyeluruh, perangkat non-kritis bukan hanya perangkat komersial siap pakai (COTS) tetapi juga tidak memiliki proses ketat yang sama, yang mengarah ke kemungkinan jalan untuk kompromi rantai pasokan yang dapat terjadi. dipersenjatai untuk mengaktifkan serangan dengan mengintegrasikan komponen pihak ketiga nakal ke dalam sistem.

“Di PCspooF, kami menemukan cara bagi perangkat non-kritis berbahaya untuk merusak jaminan isolasi ini di jaringan TTE,” Baris Kasikci,

Pada gilirannya, dicapai dengan menggunakan perangkat jahat untuk menyuntikkan interferensi elektromagnetik (EMI) ke sakelar TTE melalui kabel Ethernet,

Sebagai mitigasi, penelitian ini merekomendasikan penggunaan optocoupler atau pelindung gelombang untuk memblokir interferensi elektromagnetik, memeriksa alamat MAC sumber untuk memastikannya asli, menyembunyikan bidang PCF utama, menggunakan protokol autentikasi lapisan tautan seperti IEEE 802.

Temuan menunjukkan bahwa penggunaan perangkat keras umum dalam sistem yang direkayasa untuk memberikan jaminan isolasi yang ketat kadang-kadang dapat mengalahkan perlindungan itu sendiri, kata para peneliti, menambahkan sistem perangkat lunak kritik campuran harus diperiksa dengan cermat dengan cara yang sama untuk memastikan mekanisme isolasi. sangat mudah.

sumber : the hacker news

Peretas Korea Utara Menargetkan Organisasi Eropa Dengan Malware yang Diperbarui

by

Peretas Korea Utara menggunakan versi baru pintu belakang DTrack untuk menyerang organisasi di Eropa dan Amerika Latin.

DTrack adalah pintu belakang modular yang menampilkan keylogger, tangkapan layar, pengambilan riwayat browser, pengintai proses yang sedang berjalan, penjambret informasi alamat IP dan koneksi jaringan, dan banyak lagi.

Selain memata-matai, itu juga dapat menjalankan perintah untuk melakukan operasi file, mengambil muatan tambahan, mencuri file dan data, dan menjalankan proses pada perangkat yang disusupi.

Distribusi yang Lebih Luas
Sektor yang ditargetkan meliputi pusat penelitian pemerintah, lembaga kebijakan, produsen bahan kimia, penyedia layanan TI, penyedia telekomunikasi, penyedia layanan utilitas, dan pendidikan.

Dalam kampanye baru, Kaspersky telah melihat DTrack mendistribusikan menggunakan nama file yang umumnya diasosiasikan dengan executable yang sah.

Kaspersky memberi tahu BleepingComputer bahwa DTrack terus diinstal dengan menembus jaringan menggunakan kredensial curian atau mengeksploitasi server yang terpapar Internet, seperti yang terlihat pada kampanye sebelumnya.

Saat diluncurkan, malware melewati beberapa langkah dekripsi sebelum muatan terakhirnya dimuat melalui proses pelubangan ke dalam proses “explorer.exe”, berjalan langsung dari memori.

dekripsi rutin chunk (kapersky)

Satu-satunya perbedaan dengan varian DTrack sebelumnya adalah sekarang menggunakan API hashing untuk memuat pustaka dan fungsi alih-alih string yang dikaburkan, dan jumlah server C2 telah dipotong setengahnya menjadi hanya tiga.

Atribusi DTrack
Pada Agustus 2022, peneliti yang sama menghubungkan pintu belakang ke grup peretasan Korea Utara yang dilacak sebagai ‘Andariel’, yang menyebarkan ransomware Maui di jaringan perusahaan di AS dan Korea Selatan.

Pada Februari 2020, Dragos menghubungkan DTrack dengan kelompok ancaman Korea Utara, ‘Wassonite,’ yang menyerang fasilitas energi nuklir dan minyak dan gas.

sumber : bleeping computer

Peretas yang Didukung Negara China Melanggar Otoritas Sertifikat Digital

by

Aktor yang disponsori negara China melanggar otoritas sertifikat digital serta lembaga pemerintah dan pertahanan yang berlokasi di berbagai negara di Asia sebagai bagian dari kampanye yang sedang berlangsung setidaknya sejak Maret 2022.

Symantec, oleh Broadcom Software, mengaitkan serangan tersebut dengan kelompok yang dilacaknya dengan nama Billbug, berdasarkan alat dalam kampanye ini yang sebelumnya diatribusikan ke grup ini.

Billbug, juga disebut Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon, dan Thrip, adalah grup ancaman persisten (APT) tingkat lanjut yang diyakini beroperasi atas nama kepentingan Tiongkok. Target utama termasuk organisasi pemerintah dan militer di Asia Tenggara.

Dalam serangan yang dilakukan pada tahun 2019, grup tersebut menggunakan pintu belakang seperti Hannotog dan Sagerunex, dengan intrusi diamati di Hong Kong, Makau, Indonesia, Malaysia, Filipina, dan Vietnam.

Kedua implan tersebut dirancang untuk memberikan akses jarak jauh yang persisten ke jaringan korban, bahkan ketika aktor ancaman diketahui menyebarkan pencuri informasi yang dikenal sebagai Catchamas dalam kasus tertentu untuk mengekstraksi informasi sensitif.

“Penargetan otoritas sertifikat sangat penting, seolah-olah penyerang berhasil mengkompromikannya untuk mengakses sertifikat, mereka berpotensi menggunakannya untuk menandatangani malware dengan sertifikat yang valid, dan membantunya menghindari deteksi pada mesin korban,” kata peneliti Symantec.

Symantec mencatat bahwa tidak ada bukti yang menunjukkan bahwa Billbug berhasil mengkompromikan sertifikat digital.

Analisis dari gelombang serangan terbaru menunjukkan bahwa akses awal kemungkinan diperoleh melalui eksploitasi aplikasi yang terhubung ke internet, setelah itu kombinasi alat yang dipesan lebih dahulu dan alat hidup dari tanah digunakan untuk memenuhi tujuan operasionalnya.

Ini terdiri dari utilitas seperti WinRAR, Ping, Traceroute, NBTscan, Certutil, selain backdoor yang mampu mengunduh file sewenang-wenang, mengumpulkan informasi sistem, dan mengunggah data terenkripsi.

Dalam serangan tersebut juga terdeteksi alat proksi multi-hop open source yang disebut Stowaway dan malware Sagerunex, yang dijatuhkan di mesin melalui Hannotog. Backdoor, dilengkapi untuk menjalankan perintah sewenang-wenang, menjatuhkan muatan tambahan, dan menyedot file yang menarik.

Sumber: The Hackernews

Cacat RCE Kritis Dilaporkan di Katalog Software Backstage dan Platform Developer Spotify

by

Backstage Spotify telah ditemukan rentan terhadap kelemahan keamanan parah yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh dengan memanfaatkan bug yang baru-baru ini diungkapkan dalam modul pihak ketiga.

Kerentanan (skor CVSS: 9.8) memanfaatkan pelarian kotak pasir kritis di vm2, perpustakaan kotak pasir JavaScript populer (CVE-2022-36067 alias Sandbreak), yang terungkap bulan lalu.

“Aktor ancaman yang tidak diautentikasi dapat menjalankan perintah sistem sewenang-wenang pada aplikasi Backstage dengan mengeksploitasi vm2 sandbox escape di plugin inti Scaffolder,” kata perusahaan keamanan aplikasi Oxeye dalam sebuah laporan yang dibagikan kepada The Hacker News.

Backstage adalah developer portal open source dari Spotify yang memungkinkan pengguna membuat, mengelola, dan menjelajahi komponen perangkat lunak dari “pintu depan” terpadu. Ini digunakan oleh banyak perusahaan seperti Netflix, DoorDash, Roku, dan Expedia, antara lain.

Menurut Oxeye, cacat tersebut berakar pada alat yang disebut templat perangkat lunak yang dapat digunakan untuk membuat komponen di dalam Backstage.

Backstage attack flow diagram (Oxeye)

Sementara mesin templat menggunakan vm2 untuk memitigasi risiko yang terkait dengan menjalankan kode yang tidak dipercaya, cacat pelarian kotak pasir pada yang terakhir memungkinkan untuk menjalankan perintah sistem yang sewenang-wenang di luar perimeter keamanan.

Oxeye mengatakan dapat mengidentifikasi lebih dari 500 contoh Backstage yang terbuka untuk umum di internet, yang kemudian dapat dipersenjatai dari jarak jauh oleh musuh tanpa memerlukan otorisasi apa pun.

Setelah pengungkapan yang bertanggung jawab pada 18 Agustus, masalah tersebut telah diatasi oleh pengelola proyek dalam versi 1.5.1 yang dirilis pada 29 Agustus 2022.

“Akar dari setiap pelarian VM berbasis template adalah mendapatkan hak eksekusi JavaScript di dalam template,” catat perusahaan Israel itu. “Dengan menggunakan mesin template ‘tanpa logika’ seperti Mustache, Anda dapat menghindari pengenalan kerentanan injeksi template sisi server.”

Sumber: The Hackernews

‘Authentication’ Windows Kerberos Rusak Setelah Pembaruan November

by

Microsoft sedang menyelidiki masalah baru yang diketahui yang menyebabkan pengontrol domain perusahaan mengalami kegagalan masuk Kerberos dan masalah autentikasi lainnya setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa bulan ini.

Kerberos telah menggantikan protokol NTLM sebagai protokol autentikasi default untuk perangkat yang terhubung dengan domain pada semua versi Windows di atas Windows 2000.

Kesalahan yang dicatat dalam log peristiwa sistem pada sistem yang terpengaruh akan ditandai dengan frasa kunci “kunci yang hilang memiliki ID 1”.

“Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1),” tulis kesalahan yang dicatat.

Daftar skenario otentikasi Kerberos mencakup namun tidak terbatas pada hal berikut:

  • Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
  • Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
  • ​Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal terhubung.
  • Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
  • ​Pencetakan yang memerlukan otentikasi pengguna domain mungkin gagal.

Mempengaruhi platform klien dan server
Daftar lengkap platform yang terpengaruh mencakup rilis klien dan server:

  • Klien: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 atau lebih baru, dan Windows 11 21H2 atau lebih baru
  • Server: Windows Server 2008 SP2 atau lebih baru, termasuk rilis terbaru, Windows Server 2022.

Masalah ini tidak memengaruhi perangkat yang digunakan oleh pelanggan rumahan dan yang tidak terdaftar di domain lokal. Selain itu, ini tidak memengaruhi lingkungan Azure Active Directory ibu-hibrid dan lingkungan yang tidak memiliki server Active Directory lokal.

Microsoft sedang mengerjakan perbaikan untuk masalah umum ini dan memperkirakan solusi akan tersedia dalam beberapa minggu mendatang.

sumber : bleeping computer