Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas Menyalahgunakan Alat Linux Asli untuk Meluncurkan Serangan Pada Sistem Linux

by

Di berbagai organisasi di seluruh dunia, adopsi kontainer telah menunjukkan tanda-tanda menjadi arus utama selama beberapa tahun terakhir.

Sejak proyek orkestrasi container seperti Kubernetes dan alat lain yang tersedia di cloud telah dikembangkan dalam beberapa tahun terakhir, gelombang transformasi telah terjadi dalam cara organisasi beroperasi.

Penerapan arsitektur berbasis layanan mikro daripada arsitektur monolitik adalah fitur yang semakin populer dalam pengembangan sistem terdistribusi.

Namun, sebagai konsekuensi dari perubahan ini, ada juga peningkatan permukaan serangan, yang merupakan masalah. Khususnya melalui kesalahan konfigurasi keamanan dan kerentanan yang diperkenalkan selama penerapan yang mengarah pada ancaman dan kompromi keamanan.

Karena itu, peretas meluncurkan serangan di lingkungan Linux dengan mengeksploitasi alat Linux asli.

Biasanya ada rantai eksploitasi standar yang diikuti oleh penyerang ketika menyerang sistem berbasis Linux. Langkah pertama dalam mendapatkan akses ke lingkungan adalah bagi penyerang untuk mengeksploitasi kerentanan.

Menurut laporan Trend Micro, untuk mendapatkan akses ke area lebih lanjut dari sistem yang disusupi, penyerang dapat mengikuti jalur yang berbeda:

  • Lingkungan organisasi saat ini dijelaskan dengan menyebutkan konteksnya.
  • Eksfiltrasi data dari lingkungan yang berisi informasi sensitif.
  • Menonaktifkan aplikasi dan menyebabkan serangan penolakan layanan.
  • Mengunduh penambang dan menambang cryptocurrency.
  • Bereksperimen dengan teknik lain, seperti : Eskalasi Hak Istimewa, Gerakan lateral, Kegigihan, Akses Kredensial

Pelaku ancaman menggunakan berbagai alat yang disertakan dengan distribusi Linux untuk mencapai tujuan ini. Alat tersebut adalah : curl, wget, chmod, chattr,ssh, base64, chroot, crontab, ps, pkill.

Decoding string yang dikodekan dalam format base64 dilakukan dengan alat base64, yang merupakan utilitas Linux. Untuk menghindari deteksi, penyerang sering menggunakan pengkodean base64 untuk mengaburkan muatan dan perintah mereka.

Perintah bash shell pengguna dicatat dalam file riwayat .bash mereka, yang terletak di direktori home mereka. Seorang penyerang memilih untuk menggunakan meja kerja Visual One, chroot, dan utilitas base64 untuk mengeksekusi kode berbahaya.

Tidak ada keraguan bahwa penyerang menggunakan alat dan utilitas yang melekat pada OS, sehingga pembela harus memikirkan kontrol apa yang ingin mereka miliki selama fase serangan yang berbeda sehingga mereka dapat tetap berada di depan penyerang.

Untuk mengurangi ancaman tersebut anda dapat melakukan :

  • Pastikan untuk menggunakan gambar distroless.
  • Cloud One Workload Security – Kontrol Aplikasi.
  • Pastikan perangkat lunak yang tidak dikenal diblokir hingga izin eksplisit diberikan.
  • Hingga diblokir secara eksplisit, izinkan perangkat lunak yang tidak dikenal berjalan di sistem Anda.

    • Sumber: GBHacker

    Apple merilis iOS 16 dengan Lockdown, fitur keamanan Safety Check

    by

    Apple merilis iOS 16 hari ini dengan fitur baru untuk meningkatkan keamanan dan privasi pengguna iPhone, termasuk Mode Lockdown dan Pemeriksaan Keamanan.

    Seperti yang dikatakan Apple pada bulan Juli ketika pertama kali meluncurkannya, fitur keamanan Mode Lockdown tidak dimaksudkan untuk penggunaan sehari-hari tetapi, sebaliknya, dirancang untuk melindungi individu berisiko tinggi (misalnya, pembela hak asasi manusia, jurnalis, dan pembangkang) dari serangan yang ditargetkan dengan tentara bayaran. spyware.

    Setelah diaktifkan, Lockdown Mode menyediakan pesan tambahan, penjelajahan web, dan perlindungan konektivitas yang memblokir spyware komersial (seperti Pegasus NSO Group) yang digunakan oleh penyerang yang didukung pemerintah untuk memantau perangkat Apple yang disusupi.

    Lebih sering daripada tidak, serangan semacam itu menggunakan eksploitasi tanpa klik yang menargetkan browser web atau aplikasi perpesanan seperti Facetime dan WhatsApp.

    Namun, dengan Mode Penguncian diaktifkan, mereka akan diblokir secara otomatis karena fitur rentan yang dieksploitasi untuk menginstal spyware seperti pratinjau tautan akan dinonaktifkan.

    Apple Lockdown Mode (Apple)

    ​Di antara fitur lain yang akan dinonaktifkan untuk mempertahankan diri dari serangan spyware, Apple juga mencantumkan jenis lampiran pesan yang berbeda dari gambar, teknologi web yang kompleks seperti kompilasi JavaScript just-in-time (JIT), undangan masuk atau permintaan layanan yang tidak wajar, konfigurasi instalasi profil, dan bergabung dengan MDM.

    Menurut deskripsi Apple, alat privasi Pemeriksaan Keamanan yang baru adalah binatang yang sama sekali berbeda, karena berfokus pada masalah yang sama sekali berbeda, yaitu membela orang-orang di basis penggunanya yang keselamatan pribadinya berada dalam bahaya langsung dari kekerasan dalam rumah tangga atau pasangan intim.

    Ini bekerja dengan segera menghapus semua akses yang sebelumnya diberikan ke aplikasi dan orang lain, mengubah siapa yang dapat mengakses informasi sensitif seperti data lokasi, dan membantu mereka yang kemungkinan ditargetkan untuk meninjau keamanan akun mereka dengan cepat.

    Fitur iOS 16 yang berfokus pada keamanan dan privasi ini sejalan dengan upaya berkelanjutan Apple untuk mempertahankan pelanggan mereka dari serangan spyware dan meningkatkan kemampuan perlindungan privasi sistem operasi.

    Misalnya, Apple menggugat pembuat spyware Pegasus NSO Group pada November 2021 karena menargetkan dan memata-matai pengguna Apple menggunakan teknologi pengawasan komersial dalam serangan yang disponsori negara.

    Perusahaan juga telah mengumumkan kategori Bounty Keamanan Apple baru untuk memberi peneliti keamanan hadiah uang untuk menemukan dan membantu menutup bug keamanan yang dapat digunakan untuk mengatasi pertahanan Mode Lockdown.

    Sumber: Bleeping Computer

    Apple memperbaiki zero-day kedelapan yang digunakan untuk meretas iPhone dan Mac tahun ini

    by

    Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day kedelapan yang digunakan dalam serangan terhadap iPhone dan Mac sejak awal tahun.

    Dalam peringatan keamanan yang dikeluarkan pada hari Senin, Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan ini “mungkin telah dieksploitasi secara aktif.”

    Bug (dilacak sebagai CVE-2022-32917) dapat memungkinkan aplikasi yang dibuat dengan jahat untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

    Dilaporkan ke Apple oleh peneliti anonim, masalah ini ditangani di iOS 15.7 dan iPadOS 15.7, macOS Monterey 12.6, dan macOS Big Sur 11.7 dengan pemeriksaan batas yang ditingkatkan.

    Daftar lengkap perangkat yang terkena dampak meliputi:

    • iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
    • Mac yang menjalankan macOS Big Sur 11.7 dan macOS Monterey 12.6

    Apple juga mem-backport patch untuk zero-day lainnya (CVE-2022-32894) ke Mac yang menjalankan macOS Big Sur 11.7 setelah merilis pembaruan keamanan tambahan pada 31 Agustus untuk mengatasi bug yang sama pada versi iOS yang berjalan di iPhone dan iPad lama.

    Meskipun Apple mengungkapkan eksploitasi aktif kerentanan ini di alam liar, perusahaan belum merilis informasi apa pun mengenai serangan ini.

    Dengan menolak untuk merilis info ini, Apple kemungkinan ingin mengizinkan sebanyak mungkin pelanggan untuk menambal perangkat mereka sebelum penyerang lain mengembangkan eksploitasi mereka sendiri dan mulai menyebarkannya dalam serangan yang menargetkan iPhone dan Mac yang rentan.

    Meskipun zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan sesegera mungkin masih sangat disarankan untuk memblokir upaya serangan.

    Sumber: Bleeping Computer

    AS merebut pasar WT1SHOP yang menjual kartu kredit, kredensial, dan ID

    by

    Operasi penegakan hukum internasional telah menyita situs web dan domain untuk WT1SHOP, pasar kriminal yang menjual kartu kredit curian, I.D. kartu, dan jutaan kredensial login.

    WT1SHOP adalah salah satu pasar kriminal terbesar dari data PII yang biasa digunakan oleh pelaku ancaman untuk membeli kredensial untuk pengambilalihan akun, kartu kredit yang digunakan untuk pembelian online, dan ID pemerintah. kartu untuk pencurian identitas.

    Perwakilan WT1SHOP biasanya mempromosikan pasar di forum peretasan Rusia dan Reddit yang melayani aktivitas kriminal online.

    Pos promosi WT1SHOP di forum peretasan Rusia

    Hari ini, Departemen Kehakiman mengumumkan bahwa pihak berwenang Portugis menyita situs web WT1SHOP, dan AS menyita empat domain Internet yang digunakan untuk mengakses pasar kriminal, termasuk wt1shop.net, wt1store.cc, wt1store.com, dan wt1store.net.

    Domain lain yang digunakan oleh situs web adalah wt1store.biz, wt1store.me, wt1store.xyz, dan wt1store.org, yang tampaknya tidak disita sekarang. Namun, karena situs web disita, mengunjungi salah satu domain ini tidak lagi memungkinkan akses ke toko.

    Operasi itu dilakukan oleh Kantor Kejaksaan Distrik Maryland dan FBI, yang mengatakan situs tersebut menjual informasi pribadi jutaan pengguna, termasuk kredensial login yang dicuri, rekening bank, kartu kredit, dan identifikasi pemerintah yang dipindai, seperti paspor. dan surat izin mengemudi.

    “Tinjauan penegak hukum WT1SHOP pada Desember 2021 menunjukkan bahwa jumlah pengguna dan penjual di situs web telah meningkat menjadi sekitar 106.273 pengguna dan 94 penjual dengan total sekitar 5,85 juta kredensial tersedia untuk dijual,” bunyi pengumuman DOJ.

    Polisi Belanda memperkirakan pada Juni 2020 bahwa situs tersebut memiliki penjualan $ 4 juta yang dibayarkan dalam bitcoin.

    Pengumuman DOJ mengatakan penegak hukum melacak pembayaran bitcoin, alamat email, dan akun admin untuk WT1SHOP kembali ke Nicolai Colesnicov, usia 36, ​​dari Republik Moldova. Colesnicov diduga sebagai administrator dan operator pasar kriminal.

    Colesnicov didakwa dengan konspirasi dan perdagangan perangkat akses tidak sah dan menghadapi hukuman maksimum 10 tahun penjara federal jika terbukti bersalah.

    Sumber: Bleeping Computer

    FBI memperingatkan serangan ransomware Vice Society di distrik sekolah

    by

    FBI, CISA, dan MS-ISAC hari ini memperingatkan distrik sekolah AS yang semakin menjadi sasaran kelompok ransomware Vice Society, dengan lebih banyak serangan diperkirakan terjadi setelah awal tahun ajaran baru.

    Mereka juga “mengantisipasi serangan dapat meningkat saat tahun ajaran 2022/2023 dimulai dan kelompok ransomware kriminal melihat peluang untuk serangan yang berhasil.”

    Penasihat memberikan indikator kompromi (IOCs) dan taktik, teknik, dan prosedur (TTPs) yang diamati oleh FBI dalam serangan baru-baru ini pada September 2022.

    Serangan terhadap sektor pendidikan, terutama yang menargetkan taman kanak-kanak hingga lembaga K-12, berdampak besar pada operasi mereka, mulai dari akses terbatas ke jaringan dan data, ujian yang tertunda, dan hari-hari sekolah yang dibatalkan hingga pencurian informasi pribadi milik siswa dan sekolah. staf.

    Salah satu serangan tersebut diungkapkan hari ini oleh Los Angeles Unified (LAUSD), distrik sekolah terbesar kedua di AS, setelah serangan ransomware menjatuhkan beberapa sistem Teknologi Informasi (TI) selama akhir pekan—LAUSD belum mengaitkan serangan tersebut ke geng ransomware tertentu.

    Pembela jaringan disarankan untuk mengambil langkah-langkah untuk mempertahankan dan membatasi dampak serangan ransomware, termasuk memprioritaskan dan memulihkan kerentanan yang diketahui dieksploitasi, melatih pengguna mereka untuk mengenali dan melaporkan upaya phishing yang biasa digunakan sebagai vektor serangan awal, dan mengaktifkan dan menerapkan otentikasi multifaktor.

    FBI juga meminta para korban untuk membagikan catatan dan informasi lain yang terkait dengan serangan tersebut.

    “FBI mencari informasi apa pun yang dapat dibagikan, untuk memasukkan log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, contoh catatan tebusan, komunikasi dengan aktor Vice Society, informasi dompet Bitcoin, file dekripsi, dan/atau sampel jinak dari file terenkripsi,” kata badan penegak hukum federal.

    Vice Society adalah kelompok ancaman yang dikenal menyebarkan beberapa jenis ransomware di jaringan korban mereka, seperti ransomware Hello Kitty/Five Hands dan Zeppelin.

    Mereka juga mencuri data sensitif dari sistem yang disusupi sebelum enkripsi dan kemudian menggunakannya untuk pemerasan ganda, mengancam korbannya untuk membocorkan data yang dicuri jika permintaan tebusan mereka tidak dibayar.

    Salah satu korban kelompok baru-baru ini adalah Universitas Kedokteran Austria Innsbruck yang terpaksa mengatur ulang semua 3.400 kata sandi akun siswa dan 2.200 karyawan setelah gangguan layanan TI yang parah dan data yang dicuri dalam serangan itu bocor di situs kebocoran data geng.

    Analis ancaman Emsisoft Brett Callow mengatakan bahwa serangan ransomware telah mengganggu pendidikan di sekitar 1.000 universitas, perguruan tinggi, dan sekolah selama tahun 2021.

    Sumber: Bleeping Computer

    Google mengatakan mantan anggota ransomware Conti sekarang menyerang Ukraina

    by

    Google mengatakan beberapa mantan anggota geng kejahatan dunia maya Conti, yang sekarang menjadi bagian dari kelompok ancaman yang dilacak sebagai UAC-0098, menargetkan organisasi Ukraina dan organisasi non-pemerintah (LSM) Eropa.

    UAC-0098 adalah broker akses awal yang dikenal menggunakan trojan perbankan IcedID untuk memberikan akses kepada grup ransomware ke sistem yang disusupi dalam jaringan perusahaan.

    Grup Analisis Ancaman (TAG), tim khusus pakar keamanan yang bertindak sebagai kekuatan pertahanan bagi pengguna Google dari serangan yang disponsori negara, mulai melacak grup ancaman ini pada bulan April setelah mendeteksi kampanye phishing yang mendorong pintu belakang AnchorMail yang terkait dengan Conti.

    Serangan kelompok ini diamati antara pertengahan April hingga pertengahan Juni, dengan seringnya perubahan taktik, teknik, dan prosedur (TTP), perkakas, dan umpan, sementara menargetkan organisasi Ukraina (seperti jaringan hotel) dan menyamar sebagai Polisi Siber Nasional dari Ukraina atau perwakilan dari Elon Musk dan StarLink.

    Dalam kampanye berikutnya, UAC-0098 terlihat mengirimkan muatan berbahaya IcedID dan Cobalt Strike dalam serangan phishing yang menargetkan organisasi Ukraina dan LSM Eropa.

    Situs berbagi file yang mengirimkan muatan berbahaya UAC-0098 (Google TAG)

    Tautan ke grup kejahatan dunia maya Conti
    Google TAG mengatakan atribusinya didasarkan pada beberapa tumpang tindih antara UAC-0098, Trickbot, dan grup kejahatan dunia maya Conti.

    “TAG menilai UAC-0098 bertindak sebagai perantara akses awal untuk berbagai kelompok ransomware termasuk Quantum dan Conti, geng kejahatan dunia maya Rusia yang dikenal sebagai FIN12 / WIZARD SPIDER.

    “Aktivitas UAC-0098 adalah contoh representatif dari garis kabur antara kelompok yang bermotivasi finansial dan yang didukung pemerintah di Eropa Timur, yang menggambarkan tren pelaku ancaman yang mengubah penargetan mereka agar selaras dengan kepentingan geopolitik regional.”

    Aktivitas kelompok ancaman yang terdeteksi dan diungkapkan hari ini oleh Google juga sejalan dengan laporan sebelumnya dari IBM Security X-Force dan CERT-UA, yang juga mengaitkan serangan terhadap organisasi Ukraina dan entitas pemerintah dengan geng kejahatan dunia maya TrickBot dan Conti.

    Beberapa geng ransomware yang disusupi oleh anggota Conti termasuk BlackCat, Hive, AvosLocker, Hello Kitty, dan operasi Quantum yang baru-baru ini dihidupkan kembali.

    Anggota Conti lainnya sekarang menjalankan operasi pemerasan data mereka sendiri yang tidak mengenkripsi data, seperti BlackByte, Karakurt, dan kolektif Bazarcall.

    Selengkapnya : Bleeping Computer

    Lazarus Group Menyebarkan Malware MagicRAT

    by

    Aktor negara-bangsa Korea Utara yang produktif yang dikenal sebagai Grup Lazarus telah dikaitkan dengan trojan akses jarak jauh baru yang disebut MagicRAT.

    Bagian dari malware yang sebelumnya tidak diketahui dikatakan telah disebarkan di jaringan korban yang awalnya telah dilanggar melalui eksploitasi yang berhasil dari server VMware Horizon yang menghadap internet.

    Lazarus Group, juga dikenal sebagai APT38, Dark Seoul, Hidden Cobra, dan Zinc, mengacu pada sekelompok aktivitas siber yang didorong oleh keuangan dan spionase yang dilakukan oleh pemerintah Korea Utara sebagai sarana untuk menghindari sanksi yang dikenakan pada negara tersebut dan memenuhi strateginya. tujuan.

    Seperti kolektif payung lainnya, Winnti dan MuddyWater, kolektif peretas yang disponsori negara juga memiliki kelompok “spin-off” seperti Bluenoroff dan Andariel, yang fokus pada jenis serangan dan target tertentu.

    Sementara subkelompok Bluenoroff berfokus pada menyerang lembaga keuangan asing dan melakukan pencurian moneter, Andariel mengabdikan diri untuk mengejar organisasi dan bisnis Korea Selatan.

    “Lazarus mengembangkan alat serangan dan malware mereka sendiri, dapat menggunakan teknik serangan yang inovatif, bekerja dengan sangat metodis, dan membutuhkan waktu mereka,” kata perusahaan keamanan siber NCC Group dalam sebuah laporan yang merinci aktor ancaman tersebut.

    “Secara khusus, metode Korea Utara bertujuan untuk menghindari deteksi oleh produk keamanan dan tetap tidak terdeteksi dalam sistem yang diretas selama mungkin.”

    Penambahan terbaru untuk perangkat malware yang luas menunjukkan kemampuan grup untuk menggunakan banyak taktik dan teknik tergantung pada target dan tujuan operasional mereka.

    Implan berbasis C++, MagicRAT dirancang untuk mencapai kegigihan dengan membuat tugas terjadwal pada sistem yang disusupi. Ini juga “agak sederhana” karena memberikan penyerang dengan shell jarak jauh untuk menjalankan perintah sewenang-wenang dan melakukan operasi file.

    MagicRAT juga mampu meluncurkan muatan tambahan yang diambil dari server jauh pada host yang terinfeksi. Salah satu executable yang diambil dari server command-and-control (C2) berbentuk file gambar GIF, tetapi pada kenyataannya adalah pemindai port yang ringan.

    Selain itu, infrastruktur C2 yang terkait dengan MagicRAT telah ditemukan menyimpan dan melayani versi TigerRAT yang lebih baru, pintu belakang yang sebelumnya dikaitkan dengan Andariel dan direkayasa untuk menjalankan perintah, mengambil tangkapan layar, mencatat penekanan tombol, dan memanen informasi sistem.

    Juga tergabung dalam varian terbaru adalah fitur USB Dump yang memungkinkan musuh untuk berburu file dengan ekstensi tertentu, di samping meletakkan dasar untuk menerapkan pengambilan video dari webcam.

    “Penemuan MagicRAT di alam liar merupakan indikasi motivasi Lazarus untuk dengan cepat membangun malware baru yang dipesan lebih dahulu untuk digunakan bersama dengan malware mereka yang sebelumnya dikenal seperti TigerRAT untuk menargetkan organisasi di seluruh dunia,” kata para peneliti.

    Sumber:

    Fitur PyPI Mengeksekusi Kode Secara Otomatis Setelah Unduhan Paket Python

    by

    Dalam temuan lain yang dapat mengekspos pengembang pada peningkatan risiko serangan supply chain (rantai pasokan), telah muncul bahwa hampir sepertiga dari paket di PyPI, Indeks Paket Python, memicu eksekusi kode otomatis setelah mengunduhnya.

    Salah satu cara menginstal paket untuk Python adalah dengan menjalankan perintah “pip install”, yang, pada gilirannya, memanggil file bernama “setup.py” yang disertakan bersama modul.

    “setup.py,” seperti namanya, adalah skrip penyiapan yang digunakan untuk menentukan metadata yang terkait dengan paket, termasuk dependensinya.

    Sementara pelaku ancaman telah menggunakan kode berbahaya dalam file setup.py, Checkmarx menemukan bahwa musuh dapat mencapai tujuan yang sama dengan menjalankan apa yang disebut perintah “pip download”.

    “pip download melakukan resolusi dan pengunduhan yang sama dengan pemasangan pip, tetapi alih-alih menginstal dependensi, ia mengumpulkan distribusi yang diunduh ke direktori yang disediakan (secara default ke direktori saat ini),” tulis dokumentasi.

    Dengan kata lain, perintah tersebut dapat digunakan untuk mengunduh paket Python tanpa harus menginstalnya di sistem. Tetapi ternyata, menjalankan perintah unduhan juga menjalankan skrip “setup.py” yang disebutkan di atas, yang mengakibatkan eksekusi kode berbahaya yang terkandung di dalamnya.

    Namun, perlu diperhatikan bahwa masalah hanya terjadi ketika paket berisi file tar.gz alih-alih file wheel (.whl), yang “memotong eksekusi ‘setup.py’ dari persamaan.”

    Meskipun pip default untuk menggunakan roda alih-alih file tar.gz, penyerang dapat memanfaatkan perilaku ini untuk secara sengaja menerbitkan paket python tanpa file .whl, yang mengarah ke eksekusi kode berbahaya yang ada di skrip pengaturan.

    “Ketika pengguna mengunduh paket python dari PyPi, pip akan lebih memilih menggunakan file .whl, tetapi akan kembali ke file tar.gz jika file .whl tidak ada,” kata Gelb.

    Temuan itu muncul saat Badan Keamanan Nasional AS (NSA), bersama dengan Badan Keamanan Siber dan Infrastruktur (CISA) dan Kantor Direktur Intelijen Nasional (ODNI), merilis panduan untuk mengamankan supply chain perangkat lunak.

    Sumber: The Hackernews