Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Ekstensi Chrome dengan 1 juta pemasangan, membajak target browser

by

Para peneliti di Guardio Labs telah menemukan kampanye malvertizing baru yang mendorong ekstensi Google Chrome yang membajak pencarian dan memasukkan tautan afiliasi ke dalam laman web.

Karena semua ekstensi ini menawarkan opsi penyesuaian warna dan tiba di mesin korban tanpa kode berbahaya untuk menghindari deteksi, para analis menamakan kampanye itu “Warna Tidak Aktif.”

Menurut laporan Guardio, pada pertengahan Oktober 2022, 30 varian ekstensi browser tersedia di toko web Chrome dan Edge, mengumpulkan lebih dari satu juta pemasangan.

30 pengaya yang ada di toko web hingga saat ini
(Guardio)

Infeksi dimulai dengan iklan atau pengalihan ketika mengunjungi halaman web yang menawarkan video atau unduhan.

Namun, ketika mencoba mengunduh program atau menonton video, Anda diarahkan ke situs lain yang menyatakan bahwa Anda harus memasang ekstensi untuk melanjutkan, seperti yang ditunjukkan di bawah ini.

Ketika pengunjung mengklik tombol ‘OK’ atau ‘Lanjutkan’, mereka kemudian diminta untuk memasang ekstensi pengubah warna yang tampak tidak berbahaya.

Namun, ketika ekstensi ini pertama kali diinstal, mereka akan mengarahkan pengguna ke berbagai halaman yang memuat skrip berbahaya yang menginstruksikan ekstensi tentang cara melakukan pembajakan pencarian dan di situs apa yang akan menyisipkan tautan afiliasi.

Bagaimana serangan ekstensi terungkap di host
(Guardia)

Saat melakukan pembajakan penelusuran, ekstensi akan mengarahkan kueri penelusuran untuk mengembalikan hasil dari situs yang berafiliasi dengan pengembang ekstensi, sehingga menghasilkan pendapatan dari tayangan iklan dan penjualan data penelusuran.

Dormant Colors melampaui ini dengan juga membajak penjelajahan korban pada daftar 10.000 situs web yang ekstensif dengan secara otomatis mengarahkan pengguna ke halaman yang sama tetapi kali ini dengan tautan afiliasi ditambahkan ke URL.

Setelah tag afiliasi ditambahkan ke URL, setiap pembelian yang dilakukan di situs akan menghasilkan komisi untuk pengembang.

Para peneliti memperingatkan bahwa menggunakan teknik pemuatan sisi kode berbahaya yang sama, operator Dormant Colors dapat mencapai hal-hal yang berpotensi lebih buruk daripada afiliasi pembajakan.

Para peneliti mengatakan adalah mungkin untuk mengarahkan korban ke halaman phishing untuk mencuri kredensial untuk Microsoft 365, Google Workspace, situs bank, atau platform media sosial.

Sumber: Bleeping Computer

Apple memperbaiki zero-day baru yang digunakan dalam serangan terhadap iPhone, iPad

by

Apple telah mengatasi kerentanan zero-day kesembilan yang dieksploitasi dalam serangan di alam liar sejak awal tahun.

Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan “mungkin telah dieksploitasi secara aktif.”

Bug (CVE-2022-42827) adalah masalah out-of-bounds write yang dilaporkan ke Apple oleh peneliti anonim dan disebabkan oleh perangkat lunak yang menulis data di luar batas buffer memori saat ini.

Hal ini dapat mengakibatkan kerusakan data, aplikasi mogok, atau eksekusi kode karena hasil yang tidak ditentukan atau tidak diharapkan (juga dikenal sebagai kerusakan memori) yang dihasilkan dari data berikutnya yang ditulis ke buffer.

Seperti yang dijelaskan Apple, jika berhasil dieksploitasi dalam serangan, zero-day ini dapat digunakan oleh penyerang potensial untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Daftar lengkap perangkat yang terpengaruh termasuk iPhone 8 dan versi lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, serta iPad mini generasi ke-5 dan versi lebih baru.

Apple mengatasi kerentanan zero-day di iOS 16.1 dan iPadOS 16 dengan pemeriksaan batas yang ditingkatkan.

Sementara Apple telah mengungkapkan bahwa mereka mengetahui laporan eksploitasi aktif dari kerentanan ini di alam liar, itu belum merilis informasi apa pun mengenai serangan ini.

Ini kemungkinan akan memungkinkan pelanggan Apple untuk menambal perangkat mereka sebelum lebih banyak penyerang mengembangkan eksploitasi tambahan dan mulai menggunakannya dalam serangan yang menargetkan iPhone dan iPad yang rentan.

Meskipun bug zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan hari ini sangat disarankan untuk memblokir upaya serangan apa pun.

Sumber : Bleeping Computer

Ribuan repositori GitHub memberikan eksploitasi PoC palsu dengan malware

by

Para peneliti di Leiden Institute of Advanced Computer Science menemukan ribuan repositori di GitHub yang menawarkan eksploitasi proof-of-concept (PoC) palsu untuk berbagai kerentanan, beberapa di antaranya termasuk malware.

Menurut makalah teknis dari para peneliti di Leiden Institute of Advanced Computer Science, kemungkinan terinfeksi malware alih-alih mendapatkan PoC bisa mencapai 10,3%, tidak termasuk palsu dan prankware yang terbukti.

Para peneliti menganalisis sedikit lebih dari 47.300 repositori yang mengiklankan eksploitasi untuk kerentanan yang diungkapkan antara 2017 dan 2021 menggunakan tiga mekanisme berikut:

  • Analisis alamat IP: membandingkan IP penerbit PoC dengan daftar blokir publik dan VT dan AbuseIPDB.
  • Analisis biner: jalankan pemeriksaan VirusTotal pada executable yang disediakan dan hashnya.
  • Analisis heksadesimal dan Base64: memecahkan kode file yang dikaburkan sebelum melakukan pemeriksaan biner dan IP.
Metode analisis data (Arxiv.org)

Dari 150.734 IP unik yang diekstraksi, 2.864 entri daftar blokir yang cocok, 1.522 terdeteksi sebagai berbahaya dalam pemindaian antivirus di Virus Total, dan 1.069 di antaranya ada di database AbuseIPDB.

Alamat IP ditemukan di berbagai daftar blokir (Arxiv.org)

Analisis biner memeriksa satu set 6.160 executable dan mengungkapkan total 2.164 sampel berbahaya yang dihosting di 1.398 repositori.

Secara total, 4.893 repositori dari 47.313 yang diuji dianggap berbahaya, dengan sebagian besar dari mereka terkait dengan kerentanan mulai tahun 2020.

Repositori berbahaya per tahun (Arxiv.org)

Laporan tersebut berisi sekumpulan kecil repositori dengan PoC palsu yang mengirimkan malware. Namun, para peneliti berbagi setidaknya 60 contoh lain yang masih hidup dan dalam proses dihapus oleh GitHub.

Dengan melihat lebih dekat ke beberapa kasus tersebut, para peneliti menemukan sejumlah besar malware dan skrip berbahaya yang berbeda, mulai dari trojan akses jarak jauh hingga Cobalt Strike.

Satu kasus yang menarik adalah PoC untuk CVE-2019-0708, umumnya dikenal sebagai “BlueKeep”, yang berisi skrip Python base64 yang dikaburkan yang mengambil VBScript dari Pastebin.

Scriptnya adalah Houdini RAT, trojan berbasis JavaScript lama yang mendukung eksekusi perintah jarak jauh melalui CMD Windows.

Dalam kasus lain, para peneliti melihat PoC palsu yang merupakan pencuri informasi yang mengumpulkan informasi sistem, alamat IP, dan agen pengguna.

Salah satu peneliti, El Yadmani Soufian, memberikan contoh tambahan yang tidak termasuk dalam laporan teknis, yang diberikan di bawah ini:

PowerShell PoC yang berisi biner yang dikodekan dalam base64 ditandai sebagai berbahaya di Total Virus.

Powershell PoC Palsu

Python PoC berisi one-liner yang mendekode payload yang disandikan base64 yang ditandai sebagai berbahaya di Virus Total.

Eksploitasi BlueKeep palsu berisi executable yang ditandai oleh sebagian besar mesin antivirus sebagai berbahaya, dan diidentifikasi sebagai Cobalt Strike.

Skrip yang bersembunyi di dalam PoC palsu dengan komponen berbahaya yang tidak aktif yang dapat menyebabkan kerusakan jika pembuatnya menginginkannya.

Oleh karena itu mempercayai repositori di GitHub secara membabi buta dari sumber yang tidak diverifikasi akan menjadi ide yang buruk karena kontennya tidak dimoderasi, jadi pengguna harus meninjaunya sebelum menggunakannya.

Penguji perangkat lunak disarankan untuk memeriksa dengan cermat PoC yang mereka unduh dan menjalankan pemeriksaan sebanyak mungkin sebelum menjalankannya.

Soufian percaya bahwa semua penguji harus mengikuti tiga langkah berikut:

  • Baca dengan cermat kode yang akan Anda jalankan di jaringan Anda atau pelanggan Anda.
  • Jika kode terlalu dikaburkan dan membutuhkan terlalu banyak waktu untuk menganalisis secara manual, sandbox di lingkungan (mis: Mesin Virtual yang terisolasi) dan periksa jaringan Anda untuk setiap lalu lintas yang mencurigakan.
  • Gunakan alat intelijen sumber terbuka seperti VirusTotal untuk menganalisis binari.

Para peneliti telah melaporkan semua repositori berbahaya yang mereka temukan ke GitHub, tetapi akan memakan waktu sampai semuanya ditinjau dan dihapus, begitu banyak yang masih tersedia untuk umum.

Seperti yang dijelaskan Soufian, penelitian mereka bertujuan tidak hanya berfungsi sebagai tindakan pembersihan satu kali di GitHub, tetapi juga bertindak sebagai pemicu untuk mengembangkan solusi otomatis yang dapat digunakan untuk menandai instruksi berbahaya dalam kode yang diunggah.

Sumber: Bleeping Computer

Windows zero-day yang dieksploitasi memungkinkan file JavaScript melewati peringatan keamanan

by

Update terbaru mengenai Windows Mark of the Web zero-day

Zero-day Windows baru memungkinkan pelaku ancaman menggunakan file JavaScript standalone yang berbahaya untuk melewati peringatan keamanan Mark-of-the-Web. Pelaku ancaman sudah terlihat menggunakan bug zero-day dalam serangan ransomware.

Fitur keamanan yang disebut Mark-of-the-Web (MoTW) yang menandai file sebagai telah diunduh dari Internet dan oleh karena itu harus diperlakukan dengan hati-hati karena dapat berbahaya.

Bendera MoTW ditambahkan ke file yang diunduh atau lampiran email sebagai Aliran Data Alternatif khusus yang disebut ‘Zone.Identifier,’ yang dapat dilihat menggunakan perintah ‘dir /R’ dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web
Sumber: BleepingComputer

Aliran data alternatif ‘Zone.Identifier’ ini mencakup zona keamanan URL asal file (tiga sama dengan Internet), perujuk, dan URL ke file.

Saat pengguna mencoba membuka file dengan bendera Mark-of-the-Web, Windows akan menampilkan peringatan bahwa file tersebut kemungkinan berbahaya.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW
Sumber: BleepingComputer

Microsoft Office juga menggunakan bendera MoTW untuk menentukan apakah file harus dibuka dalam Tampilan Terproteksi, yang menyebabkan makro dinonaktifkan.

Tim intelijen ancaman HP baru-baru ini melaporkan bahwa pelaku ancaman menginfeksi perangkat dengan ransomware Magniber menggunakan file JavaScript.

Untuk lebih jelasnya, kita tidak berbicara tentang file JavaScript yang umum digunakan di hampir semua situs web, tetapi file .JS didistribusikan oleh aktor ancaman sebagai lampiran atau unduhan yang dapat berjalan di luar browser web.

File JavaScript yang terlihat didistribusikan oleh aktor ancaman Magniber ditandatangani secara digital menggunakan blok tanda tangan yang disandikan base64 seperti yang dijelaskan dalam artikel dukungan Microsoft ini.

Setelah dianalisis oleh Will Dormann, dia menemukan bahwa penyerang menandatangani file-file ini dengan kunci yang salah format.

Ketika masuk dengan cara ini, meskipun file JS diunduh dari Internet dan menerima bendera MoTW, Microsoft tidak akan menampilkan peringatan keamanan, dan skrip akan secara otomatis dijalankan untuk menginstal ransomware Magniber.

Dormann lebih lanjut menguji penggunaan tanda tangan yang salah format ini dalam file JavaScript dan mampu membuat file JavaScript bukti konsep yang akan melewati peringatan MoTW.

Kedua file JavaScript (.JS) tersebut menerima Mark-of-the-Web, seperti yang ditunjukkan oleh kotak merah, saat diunduh dari situs web.

Mark-of-the-Web pada eksploitasi PoC Dormann
Sumber: BleepingComputer

Perbedaan antara kedua file adalah bahwa yang satu ditandatangani menggunakan kunci cacat yang sama dari file Magniber, dan yang lainnya tidak berisi tanda tangan sama sekali.

Ketika file yang tidak ditandatangani dibuka di Windows 10, peringatan keamanan MoTW ditampilkan dengan benar.

Namun, ketika mengklik dua kali ‘calc-othersig.js,’ yang ditandatangani dengan kunci yang salah format, Windows tidak menampilkan peringatan keamanan dan hanya menjalankan kode JavaSript.

Dengan menggunakan teknik ini, pelaku ancaman dapat melewati peringatan keamanan normal yang ditampilkan saat membuka file JS yang diunduh dan menjalankan skrip secara otomatis.

BleepingComputer dapat mereproduksi bug di Windows 10. Namun, untuk Windows 11, bug hanya akan terpicu saat menjalankan file JS langsung dari arsip.

Dormann mengatakan bahwa dia yakin bug ini pertama kali diperkenalkan dengan rilis Windows 10, karena perangkat Windows 8.1 yang sepenuhnya ditambal menampilkan peringatan keamanan MoTW seperti yang diharapkan.

Menurut Dormann, bug tersebut berasal dari fitur SmartScreen ‘Periksa aplikasi dan file’ baru Windows 10 di bawah Keamanan Windows > Kontrol Aplikasi & Peramban > Pengaturan perlindungan berbasis reputasi.

Dormann membagikan bukti konsep dengan Microsoft, yang mengatakan bahwa mereka tidak dapat mereproduksi bypass peringatan keamanan MoTW.

Dormann juga mengatakan bahwa pelaku ancaman dapat memodifikasi file bertanda Authenticode, termasuk file yang dapat dieksekusi (.EXE), untuk melewati peringatan keamanan MoTW.

Untuk melakukan ini, executable yang ditandatangani dapat dimodifikasi menggunakan editor hex untuk mengubah beberapa byte di bagian tanda tangan file dan dengan demikian merusak tanda tangan.

Setelah tanda tangan rusak, Windows tidak akan memeriksa file menggunakan SmartScreen, seolah-olah bendera MoTW tidak ada, dan membiarkannya berjalan.

Selengkapnya: Bleeping Computer

Peretas Mulai Mengeksploitasi Kerentanan Teks Apache Commons “Text4Shell” Kritis

by

Perusahaan keamanan WordPress Wordfence pada hari Kamis mengatakan mulai mendeteksi upaya eksploitasi yang menargetkan cacat yang baru diungkapkan di Apache Commons Text pada 18 Oktober 2022.

Kerentanan, dilacak sebagai CVE-2022-42889 alias Text4Shell, telah diberi peringkat keparahan 9,8 dari kemungkinan 10,0 pada skala CVSS dan memengaruhi versi 1,5 hingga 1,9 dari perpustakaan.

Ini juga mirip dengan kerentanan Log4Shell yang sekarang terkenal karena masalah berakar pada cara substitusi string yang dilakukan selama pencarian DNS, skrip, dan URL dapat menyebabkan eksekusi kode arbitrer pada sistem yang rentan saat meneruskan input yang tidak tepercaya.

“Penyerang dapat mengirim muatan yang dibuat dari jarak jauh menggunakan pencarian ‘script,’ ‘dns,’ dan ‘url’ untuk mencapai eksekusi kode jarak jauh yang sewenang-wenang,” tim Zscaler ThreatLabZ menjelaskan.

Eksploitasi cacat yang berhasil dapat memungkinkan aktor ancaman untuk membuka koneksi shell terbalik dengan aplikasi yang rentan hanya melalui muatan yang dibuat khusus, secara efektif membuka pintu untuk serangan lanjutan.

Pengguna yang memiliki ketergantungan langsung pada Apache Commons Text disarankan untuk meningkatkan ke versi tetap untuk mengurangi potensi ancaman. Menurut Maven Repository, sebanyak 2.593 proyek menggunakan perpustakaan, meskipun Flashpoint mencatat bahwa sangat sedikit dari yang terdaftar menggunakan metode yang rentan.

Cacat Teks Apache Commons juga mengikuti kelemahan keamanan kritis lainnya yang diungkapkan dalam Konfigurasi Apache Commons pada Juli 2022 (CVE-2022-33980, skor CVSS: 9,8), yang dapat mengakibatkan eksekusi kode arbitrer melalui fungsionalitas interpolasi variabel.

Selengkapnya: The Hacker News

BlackByte ransomware menggunakan alat pencurian data baru untuk pemerasan ganda

by

Afiliasi ransomware BlackByte menggunakan alat pencurian data khusus baru yang disebut ‘ExByte’ untuk mencuri data dari perangkat Windows yang disusupi dengan cepat.

Eksfiltrasi data diyakini sebagai salah satu fungsi terpenting dalam serangan pemerasan ganda, dengan BleepingComputer mengatakan bahwa perusahaan lebih sering membayar permintaan tebusan untuk mencegah kebocoran data daripada menerima decryptor.

Karena itu, operasi ransomware, termasuk ALPHV dan LockBit, terus berupaya meningkatkan alat pencurian data mereka.

Pada saat yang sama, pelaku ancaman lainnya, seperti Karakurt, bahkan tidak repot-repot mengenkripsi salinan lokal, hanya berfokus pada eksfiltrasi data.

Exbyte ditemukan oleh peneliti keamanan di Symantec, yang mengatakan bahwa pelaku ancaman menggunakan alat eksfiltrasi berbasis Go untuk mengunggah file curian langsung ke layanan penyimpanan cloud Mega.

Setelah dieksekusi, alat ini melakukan pemeriksaan anti-analisis untuk menentukan apakah itu berjalan di lingkungan kotak pasir dan memeriksa proses debugger dan anti-virus.

Biner ransomware BlackByte juga menerapkan pengujian yang sama ini, tetapi alat eksfiltrasi perlu menjalankannya secara independen karena eksfiltrasi data dilakukan sebelum enkripsi file.

Jika tesnya bersih, Exbyte menghitung semua file dokumen pada sistem yang dilanggar dan mengunggahnya ke folder yang baru dibuat di Mega menggunakan kredensial akun yang di-hardcode.

“Selanjutnya, Exbyte menghitung semua file dokumen di komputer yang terinfeksi, seperti file .txt, .doc, dan .pdf, dan menyimpan path lengkap dan nama file ke %APPDATA%\dummy,” jelas laporan Symantec.

Selengkapnya: Bleeping Computer

Bug VMware dengan peringkat keparahan 9,8 dieksploitasi untuk menginstal malware buatan penyihir

by

Peretas telah mengeksploitasi kerentanan yang sekarang ditambal di VMware Workspace ONE Access dalam kampanye untuk menginstal berbagai ransomware dan penambang cryptocurrency, seorang peneliti di perusahaan keamanan Fortinet mengatakan pada hari Kamis.

CVE-2022-22954 adalah kerentanan eksekusi kode jarak jauh di VMware Workspace ONE Access yang membawa peringkat keparahan 9,8 dari kemungkinan 10. VMware mengungkapkan dan menambal kerentanan pada 6 April.

Dalam 48 jam, peretas merekayasa balik pembaruan dan mengembangkan eksploitasi kerja yang kemudian mereka gunakan untuk mengkompromikan server yang belum menginstal perbaikan.

Akses VMware Workspace ONE membantu administrator mengonfigurasi rangkaian aplikasi yang dibutuhkan karyawan di lingkungan kerja mereka.

Pada bulan Agustus, para peneliti di Fortiguard Labs melihat lonjakan tiba-tiba dalam upaya eksploitasi dan perubahan besar dalam taktik. Padahal sebelum para peretas memasang muatan yang memanen kata sandi dan mengumpulkan data lain, gelombang baru membawa sesuatu yang lain—khususnya, ransomware yang dikenal sebagai RAR1ransom, penambang cryptocurrency yang dikenal sebagai GuardMiner, dan Mirai, perangkat lunak yang menyatukan perangkat Linux menjadi botnet besar untuk digunakan dalam serangan penolakan layanan terdistribusi.

“Meskipun kerentanan kritis CVE-2022-22954 sudah ditambal pada bulan April, masih ada beberapa kampanye malware yang mencoba mengeksploitasinya,” tulis peneliti Fortiguard Labs Cara Lin.

Penyerang, tambahnya, menggunakannya untuk menyuntikkan muatan dan mencapai eksekusi kode jarak jauh pada server yang menjalankan produk.

Selengkapnya: ars TECHNICA

CYBERCOM melaksanakan operasi pertahanan dunia maya global

by

Komando Siber A.S. melakukan konsep operasi ruang siber defensif baru dari 3-14 Oktober 2022.

Operasi ini dimaksudkan untuk menyoroti dan meningkatkan interoperabilitas CYBERCOM dengan mitra. Dengan meningkatkan konsistensi informasi dan berbagi wawasan dengan mitra aksi terpadu, kami meningkatkan keamanan dan stabilitas jaringan, sistem, dan tindakan nasional kami saat melawan aktivitas siber berbahaya.

Operasi 10 hari ini difokuskan secara internal dan dimaksudkan untuk mencari, mengidentifikasi, dan mengurangi malware yang diketahui publik dan variasi terkait yang berpotensi memengaruhi keamanan siber kami. Dimulai dengan malware yang dikenal atau variasinya memungkinkan operator untuk meningkatkan proses dan koordinasi dengan komando kombatan, antarlembaga, internasional, industri, dan mitra akademik. Jika dan ketika operator mengidentifikasi ancaman, wawasan mereka dibagikan di antara semua mitra.

“Di bawah kerangka ini, operasi tersebut merupakan kegiatan berkelanjutan yang dirancang untuk memperkuat ketahanan Jaringan Informasi Departemen Pertahanan (DODIN) dan sistem pendukung lainnya,” kata Laksamana Muda Angkatan Laut AS Matthew C. Paradise, wakil direktur, Operasi J-3 , CYBERCOM. “Operasi Ruang Siber Defensif membantu CYBERCOM memenuhi tanggung jawab misinya dengan mengaktifkan dan meningkatkan jaminan misi pasukan gabungan, serta sekutu dan mitra kami, dengan mempertahankan jaringan yang andal dan dapat dipertahankan,” tambah Paradise.

Operasi defensif ini dilakukan secara bersamaan di berbagai jaringan DOD dan secara global dengan mitra yang berpartisipasi.

Sumber: U.S. Cyber Command