Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Platform CrowdStrike Falcon Mengidentifikasi Supply Chain Attack Melalui Installer Comm100 Chat yang disisipi Trojan

by

Memanfaatkan wawasan dari platform Falcon, tim CrowdStrike Falcon OverWatch™, CrowdStrike Falcon Complete™, dan CrowdStrike Intelligence mengonfirmasi bahwa serangan rantai pasokan melibatkan penginstal trojan untuk aplikasi Comm100 Live Chat.

Serangan ini terjadi setidaknya dari 27 September 2022 hingga 29 September 2022 pagi. File trojan diidentifikasi di organisasi di sektor industri, perawatan kesehatan, teknologi, manufaktur, asuransi, dan telekomunikasi di Amerika Utara dan Eropa.

Malware dikirimkan melalui penginstal Comm100 yang ditandatangani yang dapat diunduh dari situs web perusahaan baru-baru ini pada pagi hari tanggal 29 September 2022. CrowdStrike Intelligence menilai dengan keyakinan moderat bahwa aktor yang bertanggung jawab atas aktivitas ini kemungkinan memiliki hubungan dengan Nexus dari China.

Malware dikirimkan melalui penginstal Comm100 yang ditandatangani yang dapat diunduh dari situs web perusahaan. Pemasang ditandatangani pada 26 September 2022 pukul 14:54:00 UTC menggunakan sertifikat Comm100 Network Corporation yang valid.

CrowdStrike Intelligence dapat mengonfirmasi bahwa agen desktop Microsoft Windows 7+ dihosting di https[:]//dash11.comm100[.]io/livechat/electron/10000/Comm100LiveChat-Setup-win.exe yang tersedia hingga 29 September pagi adalah penginstal trojan. Comm100 telah merilis penginstal yang diperbarui (10.0.9).

Installer ini (SHA256 hash: ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86) adalah aplikasi Electron yang berisi backdoor JavaScript (JS) di dalam file main.js dari arsip Asar yang disematkan.

Backdoor mengunduh dan menjalankan skrip tahap kedua dari URL http[:]//api.amazonawsreplay[.]com/livehelp/collect.

Selengkapnya: CrowdStrike

ZINC mempersenjatai perangkat lunak sumber terbuka

by

Dalam beberapa bulan terakhir, Microsoft telah mendeteksi berbagai kampanye rekayasa sosial menggunakan perangkat lunak sumber terbuka sah yang dipersenjatai oleh aktor yang kami lacak sebagai ZINC. Microsoft Threat Intelligence Center (MSTIC) mengamati aktivitas yang menargetkan karyawan di organisasi di berbagai industri termasuk media, pertahanan dan kedirgantaraan, serta layanan TI di AS, Inggris, India, dan Rusia.

Berdasarkan afiliasi perdagangan, infrastruktur, perkakas, dan akun yang diamati, MSTIC mengaitkan kampanye ini dengan kepercayaan tinggi kepada ZINC, kelompok yang disponsori negara yang berbasis di Korea Utara dengan tujuan yang berfokus pada spionase, pencurian data, keuntungan finansial, dan penghancuran jaringan.

Mulai Juni 2022, ZINC menggunakan taktik rekayasa sosial tradisional dengan awalnya terhubung dengan individu di LinkedIn untuk membangun tingkat kepercayaan dengan target mereka. Setelah koneksi berhasil, ZINC mendorong komunikasi berkelanjutan melalui WhatsApp, yang bertindak sebagai sarana pengiriman untuk muatan berbahaya mereka.

MSTIC mengamati ZINC mempersenjatai berbagai perangkat lunak sumber terbuka termasuk Putty, KiTTY, TightVNC, Sumatra PDF Reader, dan penginstal perangkat lunak muPDF/Subliminal Recording untuk serangan ini. ZINC terpantau mencoba bergerak ke samping dan mengekstrak informasi yang dikumpulkan dari jaringan korban. Para aktor telah berhasil berkompromi dengan banyak organisasi sejak Juni 2022.

Kampanye yang sedang berlangsung terkait dengan PuTTY yang dipersenjatai juga dilaporkan oleh Mandiant awal bulan ini. Karena banyaknya penggunaan platform dan perangkat lunak yang digunakan ZINC dalam kampanye ini, ZINC dapat menimbulkan ancaman signifikan bagi individu dan organisasi di berbagai sektor dan wilayah.

Selengkapnya: Microsoft

Profil CISO Palsu di LinkedIn Targetkan Fortune 500s

by

Seseorang baru-baru ini membuat sejumlah besar profil LinkedIn palsu untuk peran Chief Information Security Officer (CISO) di beberapa perusahaan terbesar di dunia. Tidak jelas siapa di balik jaringan CISO palsu ini atau apa niat mereka. Tetapi identitas LinkedIn yang dibuat-buat membingungkan hasil mesin pencari untuk peran CISO di perusahaan besar, dan mereka diindeks sebagai Injil oleh berbagai sumber data-scarping.

Jika seseorang mencari LinkedIn untuk CISO dari raksasa energi Chevron, orang mungkin menemukan profil untuk Situs Victor, yang mengatakan bahwa dia berasal dari Westerville, Ohio dan merupakan lulusan Texas A&M University.

Profil LinkedIn untuk Victor Sites
Profil LinkedIn untuk Victor Sites

Tentu saja, Sites bukanlah CISO Chevron yang sebenarnya. Peran itu saat ini ditempati oleh Christopher Lukas dari Danville, California. Jika Anda bingung saat ini, Anda mungkin bertanya kepada Google siapa yang dianggap sebagai Chief Information Security Officer Chevron saat ini. Ketika KrebsOnSecurity melakukannya pagi ini, profil CISO palsu adalah hasil pencarian pertama yang dikembalikan (diikuti oleh profil LinkedIn untuk Chevron CISO asli).

Pada bulan Agustus perusahaan keamanan Mandiant (baru-baru ini diakuisisi oleh Google) mengatakan kepada Bloomberg bahwa peretas yang bekerja untuk pemerintah Korea Utara telah menyalin resume dan profil dari platform daftar pekerjaan terkemuka LinkedIn dan Memang, sebagai bagian dari skema rumit untuk mendapatkan pekerjaan di perusahaan cryptocurrency.

Tak satu pun dari profil yang terdaftar menanggapi permintaan komentar (atau menjadi koneksi). Dalam sebuah pernyataan yang diberikan kepada KrebsOnSecurity, LinkedIn mengatakan timnya secara aktif bekerja untuk menghapus akun palsu ini.

Selengkapnya: Krebs on Security

Serangan Cyber Terhadap Pemerintah Timur Tengah Sembunyikan Malware di logo Windows

by

Seorang aktor ancaman yang berfokus pada spionase telah diamati menggunakan trik steganografi untuk menyembunyikan backdoor yang sebelumnya tidak didokumentasikan dalam logo Windows dalam serangannya terhadap pemerintah Timur Tengah.

Tim Pemburu Ancaman Symantec dari Broadcom mengaitkan alat yang diperbarui ke grup peretasan yang dilacaknya dengan nama Witchetty, yang juga dikenal sebagai LookingFrog, subgrup yang beroperasi di bawah payung TA410.

Analisis terbaru Symantec tentang serangan antara Februari dan September 2022, di mana kelompok itu menargetkan pemerintah dua negara Timur Tengah dan bursa saham negara Afrika, menyoroti penggunaan pintu belakang lain yang disebut Stegmap.

Malware baru memanfaatkan steganografi – teknik yang digunakan untuk menyematkan pesan (dalam hal ini, malware) dalam dokumen non-rahasia – untuk mengekstrak kode berbahaya dari gambar bitmap logo Microsoft Windows lama yang dihosting di repositori GitHub.

“Menyamarkan muatan dengan cara ini memungkinkan penyerang untuk meng-host-nya di layanan gratis dan tepercaya,” kata para peneliti. “Unduhan dari host tepercaya seperti GitHub jauh lebih kecil kemungkinannya untuk menimbulkan tanda bahaya daripada unduhan dari server command-and-control (C&C) yang dikendalikan penyerang.”

Stegmap, seperti backdoor lainnya, memiliki beragam fitur yang memungkinkannya melakukan operasi manipulasi file, mengunduh dan menjalankan file yang dapat dieksekusi, menghentikan proses, dan membuat modifikasi Windows Registry.

Serangan yang mengarah pada penyebaran Stegmap mempersenjatai kerentanan ProxyLogon dan ProxyShell di Exchange Server untuk menjatuhkan web shell China Chopper, yang kemudian digunakan untuk melakukan pencurian kredensial dan aktivitas pergerakan lateral, sebelum meluncurkan malware LookBack.

Selengkapnya: The Hacker News

Microsoft Exchange baru zero-day secara aktif dieksploitasi dalam serangan

by

Peneliti keamanan siber Vietnam GTSC telah menemukan pelaku ancaman mengeksploitasi bug zero-day Microsoft Exchange yang belum diungkapkan yang memungkinkan eksekusi kode jarak jauh.

Penyerang merantai sepasang zero-days untuk menyebarkan web shell China Chopper di server yang disusupi untuk kegigihan dan pencurian data, serta pindah secara lateral ke sistem lain di jaringan korban.

GTSC mencurigai bahwa kelompok ancaman China bertanggung jawab atas serangan berdasarkan halaman kode web shell, pengkodean karakter Microsoft untuk bahasa China yang disederhanakan.

Agen pengguna yang digunakan untuk menginstal web shell juga milik Antsword, alat admin situs web open-source berbasis Cina dengan dukungan manajemen web shell.

Kerentanan tersebut dilaporkan ke Microsoft secara pribadi tiga minggu lalu melalui Zero Day Initiative, yang melacak mereka sebagai ZDI-CAN-18333 dan ZDI-CAN-18802 setelah analis memvalidasi masalah tersebut.

Trend Micro merilis penasihat keamanan pada kamis malam dan mengonfirmasi bahwa mereka menyerahkan dua kerentanan zero-day Microsoft Exchange baru yang ditemukan oleh GTSC ke Microsoft.

Perusahaan telah menambahkan deteksi untuk zero-days ini ke produk IPS N-Platform, NX-Platform, atau TPS.

GTSC telah merilis sangat sedikit detail mengenai bug zero-day ini. Namun, para penelitinya mengungkapkan bahwa permintaan yang digunakan dalam rantai eksploitasi ini mirip dengan yang digunakan dalam serangan yang menargetkan kerentanan ProxyShell.

Eksploitasi bekerja dalam dua tahap:

  • Permintaan dengan format yang mirip dengan kerentanan ProxyShell: autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com.
  • Penggunaan tautan di atas untuk mengakses komponen di backend tempat RCE dapat diimplementasikan.

GTSC membagikan mitigasi sementara yang akan memblokir upaya serangan dengan menambahkan aturan server IIS baru menggunakan modul Aturan Penulisan Ulang URL:

  • Di Autodiscover di FrontEnd, pilih tab URL Rewrite, lalu Request Blocking.
  • Tambahkan string “.*autodiscover\.json.*\@.*Powershell.*“ ke Jalur URL.
  • Condition input: Pilih {REQUEST_URI}

Admin yang ingin memeriksa apakah server Exchange mereka telah disusupi menggunakan eksploitasi ini dapat menjalankan perintah PowerShell berikut untuk memindai file log IIS untuk indikator kompromi:

Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Sumber: Bleeping Computer

Malware Prilex ditingkatkan untuk melewati keamanan kartu kredit

by

Analis keamanan telah mengamati tiga versi baru malware penargetan Prilex PoS tahun ini, yang menunjukkan bahwa pembuat dan operatornya kembali beraksi.

Prilex dimulai sebagai malware yang berfokus pada ATM pada tahun 2014 dan beralih ke perangkat PoS (point of sale) pada tahun 2016. Disaat pengembangan dan distribusi mencapai puncaknya pada tahun 2020, malware tersebut menghilang pada tahun 2021.

Analis Kaspersky sekarang melaporkan bahwa Prilex telah kembali, dan jeda operasional tahun lalu tampaknya menjadi jeda untuk fokus mengembangkan versi yang lebih canggih dan kuat.

Angsuran terbaru mampu menghasilkan kriptogram EMV (Europay, MasterCard, dan Visa), yang diperkenalkan pada tahun 2019 oleh VISA sebagai sistem validasi transaksi untuk membantu mendeteksi dan memblokir penipuan pembayaran.

Hal tersebut juga memungkinkan pelaku ancaman untuk menggunakan kriptogram EMV (pesan terenkripsi antara kartu dan pembaca yang berisi detail transaksi) untuk melakukan ‘transaksi GHOST’ bahkan menggunakan kartu kredit yang dilindungi dengan teknologi CHIP dan PIN.

Rantai serangan malware Prilex (Kaspersky)

Infeksi dimulai dengan email spear phishing yang menyamar sebagai teknisi dari vendor PoS, menuduh bahwa perusahaan perlu memperbarui perangkat lunak PoS-nya.

Selanjutnya, teknisi palsu mengunjungi lokasi target secara langsung dan menginstal pembaruan berbahaya di terminal PoS.

Atau, penyerang mengarahkan korban untuk menginstal alat akses jarak jauh AnyDesk di komputer mereka dan kemudian menggunakannya untuk mengganti firmware PoS dengan versi yang dicampur.

Setelah infeksi, operator akan mengevaluasi mesin untuk menentukan apakah target cukup produktif dalam hal volume transaksi keuangan atau tidak sepadan dengan waktu mereka.

Versi Prilex baru telah menambahkan pintu belakang untuk komunikasi, pencuri untuk mencegat semua pertukaran data, dan modul pengunggah untuk eksfiltrasi.

Modul pencurinya menggunakan pengait pada beberapa API Windows untuk mengintip saluran komunikasi antara bantalan PIN dan perangkat lunak PoS dan dapat memodifikasi konten transaksi, menangkap informasi kartu, dan meminta kriptogram EMV baru dari kartu.

Informasi yang diambil disimpan dalam bentuk terenkripsi secara lokal di komputer yang disusupi dan secara berkala diunggah ke server command and control (C2) malware melalui permintaan HTTP POST.

“Grup Prilex telah menunjukkan tingkat pengetahuan yang tinggi tentang transaksi kartu kredit dan debit, dan bagaimana perangkat lunak yang digunakan untuk pemrosesan pembayaran bekerja,” Kaspersky menyimpulkan.

“Ini memungkinkan penyerang untuk terus memperbarui alat mereka untuk menemukan cara untuk menghindari kebijakan otorisasi, memungkinkan mereka untuk melakukan serangan mereka.”

Sumber: Bleeping Computer

Cacat Penumpukan VLAN Ethernet memungkinkan peretas meluncurkan serangan DoS, MiTM

by

Empat kerentanan dalam fitur Ethernet ‘Stacked VLAN’ yang diadopsi secara luas memungkinkan penyerang melakukan serangan denial-of-service (DoS) atau man-in-the-middle (MitM) terhadap target jaringan menggunakan paket yang dibuat khusus.

Stacked VLAN, juga dikenal sebagai VLAN Stacking, adalah fitur di router dan switch modern yang memungkinkan perusahaan untuk merangkum beberapa ID VLAN ke dalam satu koneksi VLAN yang dibagikan dengan penyedia upstream.

Kerentanan mempengaruhi perangkat jaringan seperti switch, router, dan sistem operasi yang menggunakan kontrol keamanan Layer-2 (L2) untuk menyaring lalu lintas untuk isolasi jaringan virtual.

Cisco dan Juniper Networks telah mengkonfirmasi bahwa beberapa produk mereka terpengaruh oleh kekurangan tersebut, tetapi banyak vendor perangkat belum menyelesaikan penyelidikan mereka; maka dampak keseluruhan tetap tidak diketahui.

Kerentanan ada dalam protokol enkapsulasi Ethernet yang memungkinkan penumpukan header Virtual Local Area Network (VLAN).

Penyerang yang berdekatan dan tidak diautentikasi dapat menggunakan kombinasi header VLAN dan LLC/SNAP untuk melewati perlindungan pemfilteran jaringan L2 seperti pelindung RA IPv6, inspeksi ARP dinamis, perlindungan penemuan tetangga IPv6, dan pengintaian DHCP.

Empat kerentanan tersebut adalah:

  • CVE-2021-27853 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung IPv6 RA atau inspeksi ARP dapat dilewati menggunakan kombinasi header VLAN 0 dan header LLC/SNAP.
  • CVE-2021-27854 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung IPv6 RA dapat dilewati menggunakan kombinasi header VLAN 0, header LLC/SNAP dalam terjemahan bingkai Ethernet ke Wifi, dan kebalikan dari Wifi ke Ethernet.
  • CVE-2021-27861 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung RA IPv6 dapat dilewati menggunakan header LLC/SNAP dengan panjang yang tidak valid (dan opsional header VLAN0).
  • CVE-2021-27862 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung IPv6 RA dapat dilewati menggunakan header LLC/SNAP dengan panjang yang tidak valid dan konversi frame Ethernet ke Wifi (dan header VLAN0 opsional).

Dengan mengeksploitasi salah satu kelemahan ini secara independen, penyerang dapat menipu perangkat target untuk merutekan lalu lintas ke tujuan yang berubah-ubah.

Yang terakhir adalah skenario yang lebih parah, karena penyerang dapat mengamati lalu lintas jaringan dan mengakses informasi sensitif jika data tidak dienkripsi.

Satu hal yang perlu diperhatikan adalah bahwa dalam produk virtualisasi dan jaringan virtual berbasis cloud modern, kemampuan jaringan L2 melampaui LAN, sehingga paparan kelemahan ini dapat diperluas ke internet.

Juniper Networks mengonfirmasi bahwa CVE-2021-27853 dan CVE-2021-27854 memengaruhi beberapa produknya dan merilis pembaruan keamanan pada 25 Agustus 2022.

Cisco merilis buletin keamanan kemarin yang mengonfirmasi bahwa banyak produk jaringannya terpengaruh oleh CVE-2021-27853 dan CVE-2021-27861.

Produk yang terpengaruh termasuk sakelar, router, dan perangkat lunak, tetapi perbaikan untuk sebagian besar dari mereka tidak akan tersedia sesuai dengan tabel di penasehat.

Semua admin jaringan disarankan untuk memeriksa dan membatasi protokol yang digunakan pada port akses, mengaktifkan semua kontrol keamanan antarmuka yang tersedia, memeriksa dan memblokir iklan router, dan menerapkan pembaruan keamanan vendor segera setelah tersedia.

Sumber: Bleeping Computer

Taiwan bersiap untuk kemungkinan cyberwar dengan China

by

Warga Taiwan menerima kesadaran keamanan siber kritis dan pelatihan pertahanan. Axios melaporkan bahwa tokoh teknologi Taiwan Robert Tsao menjanjikan sekitar $20 juta dalam pendanaan untuk Kuma Academy. Tujuannya adalah untuk mempersiapkan warga Taiwan untuk kemungkinan invasi China.

Akademi Kuma memiliki tujuan yang ambisius, yaitu memberikan pelatihan militer sipil bagi tiga juta warga Taiwan selama tiga tahun ke depan.

Materi kursus termasuk menemukan dan membongkar disinformasi online, dan mengadakan kursus lanjutan tentang pengumpulan intelijen sumber terbuka (OSINT). Kursus OSINT akan diajarkan oleh kelompok peretas sukarelawan veteran.

Menurut Axios, teknik OSINT tidak populer di Taiwan, terlepas dari jumlah kelompok peretasan Taiwan. Akademi Kuma akan membantu melatih warga Taiwan untuk mendeteksi bahasa non-Taiwan yang populer secara online, dan pelacakan media sosial untuk mendeteksi kemungkinan peniru China yang mengaku sebagai orang Taiwan.

“Perang, pada dasarnya, adalah kontes keinginan. Kedua belah pihak menggunakan berbagai metode untuk mencoba memaksa yang lain untuk mematuhi kehendaknya. Konflik bersenjata hanyalah salah satu bentuk peperangan modern.”

Harapannya adalah dengan memperkuat pertahanan Taiwan dan moral warga negara, mereka akan melawan kepercayaan umum di Taiwan bahwa jika China menyerang, mereka tidak punya pilihan selain menyerah.

Tak heran, Taiwan dan warganya sangat hati-hati menyaksikan perang Ukraina dan Rusia. Kemauan dan kekuatan rakyat Ukraina adalah sesuatu yang ingin ditiru Taiwan.

Rusia telah menyebarkan propaganda dan “disinformasi yang ditargetkan” terhadap penduduk Ukraina dengan tujuan melemahkan moral mereka, menurut Axios. Sementara itu, Ukraina telah melacak kampanye disinformasi Rusia dan menggunakan teknik OSINT untuk membantu mengumpulkan bukti kejahatan perang Rusia.

Sumber: Cyber Careers