Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware tersembunyi baru yang menargetkan Linux

by

Malware Linux baru yang dikenal sebagai Shikitega telah ditemukan menginfeksi komputer dan perangkat IoT dengan muatan tambahan.

Malware ini mengeksploitasi kerentanan untuk meningkatkan hak istimewanya, menambahkan persistensi pada host melalui crontab, dan akhirnya meluncurkan penambang cryptocurrency pada perangkat yang terinfeksi.

Shikitega berhasil menghindari deteksi anti-virus menggunakan encoder polimorfik yang membuat deteksi statis berbasis tanda tangan menjadi tidak mungkin.

Para peneliti di AT&T mengatakan malware menggunakan rantai infeksi multi-langkah di mana setiap lapisan hanya mengirimkan beberapa ratus byte, mengaktifkan modul sederhana dan kemudian pindah ke yang berikutnya.

Infeksi dimulai dengan file ELF 370 byte, yang merupakan penetes yang berisi kode shell yang disandikan.

File ELF yang memulai rantai infeksi (AT&T)

Pengkodean dilakukan menggunakan enkoder umpan balik aditif XOR polimorfik ‘Shikata Ga Nai,’ yang sebelumnya dianalisis oleh Mandiant.

“Dengan menggunakan encoder, malware berjalan melalui beberapa loop decode, di mana satu loop mendecode lapisan berikutnya hingga payload shellcode terakhir didekodekan dan dieksekusi,” lanjut laporan tersebut.

Loop dekripsi Shikata Ga Nai (AT&T)

Setelah dekripsi selesai, shellcode dieksekusi untuk menghubungi command and control server (C2) malware dan menerima shellcode (perintah) tambahan yang disimpan dan dijalankan langsung dari memori.

Salah satu dari perintah ini mengunduh dan menjalankan ‘Mettle,’ muatan Metasploit Meterpreter kecil dan portabel yang memberi penyerang lebih jauh kendali jarak jauh dan opsi eksekusi kode pada host.

Mettle mengambil file ELF yang lebih kecil, yang mengeksploitasi CVE-2021-4034 (alias PwnKit) dan CVE-2021-3493 untuk meningkatkan hak istimewa dan mengunduh payload tahap akhir, penambang cryptocurrency, sebagai root.

Kegigihan untuk penambang crypto dicapai dengan mengunduh lima skrip shell yang menambahkan empat cronjobs, dua untuk pengguna root dan dua untuk pengguna saat ini.

Lima skrip shell dan fungsinya (AT&T)

Crontab adalah mekanisme persistensi yang efektif, sehingga semua file yang diunduh dihapus untuk mengurangi kemungkinan malware ditemukan.

Penambang kripto adalah XMRig versi 6.17.0, berfokus pada penambangan Monero yang berfokus pada anonimitas dan sulit dilacak.

Ikhtisar rantai infeksi Shikitega (AT&T)

Untuk lebih mengurangi kemungkinan meningkatkan alarm pada produk keamanan jaringan, aktor ancaman di belakang Shikitega menggunakan layanan hosting cloud yang sah untuk meng-host infrastruktur komando dan kontrol mereka.

Tim AT&T melaporkan peningkatan tajam dalam malware Linux tahun ini, menyarankan admin sistem untuk menerapkan pembaruan keamanan yang tersedia, menggunakan EDR di semua endpoint, dan membuat cadangan rutin untuk data penting.

Sumber : Bleeping Computer

QNAP menambal zero-day yang digunakan dalam serangan ransomware Deadbolt baru

by

QNAP memperingatkan pelanggan tentang serangan ransomware DeadBolt yang sedang berlangsung yang dimulai pada hari Sabtu dengan mengeksploitasi kerentanan zero-day di Photo Station.

Serangan tersebar luas, dengan layanan ID Ransomware melihat lonjakan pengiriman pada hari Sabtu dan Minggu.

QNAP merilis pembaruan keamanan Photo Station 12 jam setelah DeadBolt mulai menggunakan kerentanan zero-day dalam serangan, mendesak pelanggan NAS untuk segera memperbarui Photo Station ke versi terbaru.

Pembaruan keamanan berikut memperbaiki kerentanan:

QTS 5.0.1: Stasiun Foto 6.1.2 dan yang lebih baru
QTS 5.0.0/4.5.x: Photo Station 6.0.22 dan yang lebih baru
QTS 4.3.6: Stasiun Foto 5.7.18 dan yang lebih baru
QTS 4.3.3: Stasiun Foto 5.4.15 dan yang lebih baru
QTS 4.2.6: Stasiun Foto 5.2.14 dan yang lebih baru

Atau, QNAP menyarankan pengguna mengganti Photo Station dengan QuMagie, alat manajemen penyimpanan foto yang lebih aman untuk perangkat QNAP NAS.

Menerapkan pembaruan keamanan akan mencegah ransomware DeadBolt dan pelaku ancaman lainnya mengeksploitasi kerentanan dan mengenkripsi perangkat. Namun, perangkat NAS tidak boleh diekspos secara publik ke Internet dan sebagai gantinya ditempatkan di belakang firewall.

Pelanggan QNAP dapat menemukan petunjuk terperinci tentang penerapan pembaruan yang tersedia dan pengaturan myQNAPcloud di penasihat keamanan.

Terakhir, disarankan untuk menggunakan kata sandi yang kuat pada semua akun pengguna NAS dan mengambil snapshot secara teratur untuk mencegah kehilangan data jika terjadi serangan.

Geng ransomware DeadBolt telah menargetkan perangkat NAS sejak Januari 2022, menggunakan dugaan kerentanan zero-day pada perangkat NAS yang terpapar Internet.

Operasi ransomware melakukan serangan lebih lanjut pada perangkat QNAP pada Mei dan Juni 2022.

Catatan tebusan DeadBolt
Sumber: BleepingComputer

Sebelumnya pada bulan Februari, DeadBolt mulai menargetkan perangkat ASUSTOR NAS menggunakan kerentanan zero-day yang mereka coba jual ke vendor seharga 7,5 Bitcoin.

Dalam sebagian besar serangan ini, DeadBolt menuntut pembayaran lebih dari seribu USD dari pengguna yang terkena dampak sebagai ganti decryptor yang berfungsi.

Namun, kelompok ransomware NAS lainnya menuntut jumlah yang lebih signifikan dari korban mereka.

Ransomware Checkmate menargetkan produk QNAP NAS pada bulan Juli, menuntut korban membayar $15.000.

Sumber: Bleeping Computer

Serangan siber InterContinental Hotels Group mengganggu sistem pemesanan

by

Perusahaan perhotelan terkemuka InterContinental Hotels Group PLC (juga dikenal sebagai IHG Hotels & Resorts) mengatakan sistem teknologi informasi (TI) telah terganggu sejak kemarin setelah jaringannya dibobol.

IHG adalah perusahaan multinasional Inggris yang saat ini mengoperasikan 6.028 hotel di lebih dari 100 negara dan memiliki lebih dari 1.800 dalam jalur pengembangan.

Meskipun perusahaan tidak mengungkapkan rincian apa pun mengenai sifat serangan itu, perusahaan itu menyebutkan dalam pengungkapannya bahwa mereka sedang berupaya memulihkan sistem yang terkena dampak.

Ini mengisyaratkan kemungkinan serangan ransomware di mana pelaku ancaman telah menyebarkan muatan ransomware dan sistem terenkripsi di jaringan IHG.

Dalam sebagian besar insiden ransomware, penyerang juga akan mencuri informasi sensitif dari jaringan target mereka sebelum enkripsi.

Ini kemudian digunakan dalam skema pemerasan ganda di mana para korban ditekan untuk membayar uang tebusan di bawah ancaman kebocoran data yang dicuri.

Bulan lalu, geng ransomware Lockbit mengklaim serangan terhadap Holiday Inn Istanbul Kadıköy, salah satu hotel yang dioperasikan oleh IHG.

Klaim serangan Lockbit Holiday Inn Istanbul Kadıköy (BleepingComputer)

Dari pengujian BleepingComputer, API grup hotel juga turun dan menunjukkan kesalahan HTTP 502 dan 503.

Pelanggan juga tidak dapat masuk saat ini, dengan aplikasi IHG menampilkan “Ada yang tidak beres. Kredensial yang Anda masukkan tidak valid. Harap setel ulang kata sandi Anda atau hubungi Layanan Pelanggan.” kesalahan.

Perusahaan intelijen kejahatan dunia maya Hudson Rock mengatakan bahwa IHG memiliki setidaknya 15 karyawan yang disusupi dan lebih dari 4.000 pengguna yang disusupi, menurut data yang ditautkan ke domain ihg[.]com.

Raksasa jaringan hotel itu juga menjadi sasaran pelanggaran keamanan selama tiga bulan pada tahun 2017—antara 29 September hingga 29 Desember—ketika lebih dari 1.200 hotel waralaba InterContinental di Amerika Serikat terkena dampaknya.

Sumber: Bleeping Computer

Irlandia mendenda Instagram $400 juta karena data anak-anak

by

Regulator privasi data Irlandia telah setuju untuk mengenakan rekor denda 405 juta euro ($402 juta) terhadap jejaring sosial Instagram menyusul penyelidikan atas penanganan data anak-anak, kata juru bicara pengawas.

Instagram berencana untuk mengajukan banding atas denda tersebut, kata juru bicara orang tua Meta Platforms Inc (META.O) dalam sebuah pernyataan melalui email.

Penyelidikan, yang dimulai pada tahun 2020, berfokus pada pengguna anak-anak berusia antara 13 dan 17 tahun yang diizinkan untuk mengoperasikan akun bisnis, yang memfasilitasi publikasi nomor telepon dan/atau alamat email pengguna.

“Kami mengadopsi keputusan akhir kami Jumat lalu dan itu mengandung denda 405 juta euro,” kata juru bicara Komisaris Perlindungan Data Irlandia (DPC), pengatur utama perusahaan induk Instagram Meta Platforms Inc (META.O).

Instagram memperbarui pengaturannya lebih dari setahun yang lalu dan sejak itu merilis fitur baru untuk menjaga remaja tetap aman dan informasi mereka tetap pribadi, kata juru bicara Meta.

Juru bicara itu mengatakan Instagram tidak setuju dengan bagaimana denda itu dihitung dan dengan hati-hati meninjau keputusan tersebut.

DPC mengatur Facebook, Apple, Google dan raksasa teknologi lainnya karena lokasi markas Uni Eropa mereka di Irlandia. Ini telah membuka lebih dari selusin penyelidikan ke perusahaan Meta, termasuk Facebook dan WhatsApp.

WhatsApp tahun lalu didenda rekor 225 juta euro karena gagal mematuhi aturan data UE pada 2018.

Regulator Irlandia menyelesaikan rancangan keputusan dalam penyelidikan Instagram pada bulan Desember dan membaginya dengan regulator Uni Eropa lainnya di bawah sistem “one stop shop” blok yang mengatur perusahaan multinasional besar.

Sumber: REUTERS

TikTok diretas, lebih dari 2 miliar catatan basis data pengguna dicuri.

by

Peneliti keamanan siber pada hari Senin menemukan potensi pelanggaran data dalam aplikasi video pendek China TikTok, yang diduga melibatkan hingga 2 miliar catatan basis data pengguna.

Beberapa analis keamanan siber men-tweet tentang penemuan “pelanggaran server tidak aman yang memungkinkan akses ke penyimpanan TikTok, yang mereka yakini berisi data pengguna pribadi”.

“Ini adalah peringatan Anda. #TikTok dilaporkan mengalami #pelanggaran #data, dan jika benar, mungkin ada dampak darinya dalam beberapa hari mendatang. Kami sarankan Anda mengubah #kata sandi TikTok Anda dan mengaktifkan Otentikasi Dua Faktor, jika Anda belum melakukannya sudah melakukannya,” cuit BeeHive CyberSecurity.

“Kami telah meninjau sampel data yang diekstraksi. Kepada pelanggan email dan klien pribadi kami, kami telah mengirimkan komunikasi peringatan,” tambahnya.

Troy Hunt, pencipta situs informasi pelanggaran data yang telah dibuat, memposting utas di Twitter untuk memverifikasi apakah data sampel itu asli atau tidak. Baginya, buktinya “sejauh ini tidak meyakinkan”.

BlueHornet|AgaisntTheWest memposting semua detail di forum yang dilanggar.

“Siapa yang mengira @TikTok akan memutuskan untuk menyimpan semua kode sumber backend internal mereka di satu instance Alibaba Cloud menggunakan kata sandi yang tidak berguna?” tweet mereka, memposting tentang betapa mudahnya mereka mengunduh data.

Seorang juru bicara TikTok mengatakan dalam laporan berita bahwa tim keamanan mereka “menyelidiki pernyataan ini dan memutuskan bahwa kode yang dimaksud sama sekali tidak terkait dengan kode sumber backend TikTok”.

Tim Riset Pembela Microsoft 365 baru saja menemukan kerentanan di aplikasi TikTok untuk Android yang memungkinkan peretas mengambil alih video pribadi jutaan pengguna setelah mereka mengklik tautan berbahaya.

Microsoft menemukan kerentanan tingkat tinggi dalam aplikasi TikTok Android, yang memungkinkan penyerang menyusup ke akun pengguna dengan satu klik.

Kerentanan, yang akan membutuhkan beberapa masalah untuk dirantai bersama untuk dieksploitasi, kini telah diperbaiki oleh perusahaan China.

“Penyerang dapat memanfaatkan kerentanan untuk membajak akun tanpa sepengetahuan pengguna jika pengguna yang ditargetkan hanya mengklik tautan yang dibuat khusus,” kata raksasa teknologi itu dalam sebuah pernyataan pekan lalu.

Sumber: Business Standard

Penyerang Ransomware Menyalahgunakan Sistem Anti-Cheat Genshin untuk Menonaktifkan Antivirus

by

Driver anti-cheat yang rentan untuk video game Genshin Impact telah dimanfaatkan oleh pelaku kejahatan dunia maya untuk menonaktifkan program antivirus guna memfasilitasi penyebaran ransomware, menurut temuan dari Trend Micro.

Infeksi ransomware, yang dipicu pada minggu terakhir Juli 2022, mengandalkan fakta bahwa driver yang dimaksud (“mhyprot2.sys”) ditandatangani dengan sertifikat yang valid, sehingga memungkinkan untuk menghindari hak istimewa dan menghentikan layanan yang terkait dengan aplikasi perlindungan titik akhir.

Genshin Impact adalah Game aksi populer yang dikembangkan dan diterbitkan oleh pengembang miHoYo yang berbasis di Shanghai pada September 2020.

Driver yang digunakan dalam rantai serangan dikatakan telah dibuat pada Agustus 2020, dengan adanya kelemahan dalam modul yang dibahas setelah rilis game, dan mengarah ke eksploitasi yang menunjukkan kemampuan untuk membunuh proses sewenang-wenang dan meningkat ke kernel mode.

Idenya, singkatnya, adalah menggunakan modul driver perangkat yang sah dengan penandatanganan kode yang valid untuk meningkatkan hak istimewa dari mode pengguna ke mode kernel, menegaskan kembali bagaimana musuh terus mencari cara berbeda untuk menyebarkan malware secara diam-diam.

Dalam insiden yang dianalisis oleh Trend Micro, titik akhir yang disusupi milik entitas yang tidak disebutkan namanya digunakan sebagai saluran untuk terhubung ke pengontrol domain melalui protokol desktop jarak jauh (RDP) dan mentransfer ke sana penginstal Windows yang menyamar sebagai AVG Internet Security, yang menjatuhkan dan dieksekusi, antara lain, driver yang rentan.

Tujuannya, kata para peneliti, adalah untuk menyebarkan ransomware secara massal menggunakan pengontrol domain melalui file batch yang menginstal driver, mematikan layanan antivirus, dan meluncurkan muatan ransomware.

Trend Micro menunjukkan bahwa game “tidak perlu diinstal pada perangkat korban agar ini berfungsi,” yang berarti pelaku ancaman dapat dengan mudah menginstal driver anti-cheat sebagai pendahulu penyebaran ransomware.

Kami telah menghubungi miHoYo untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.

“Masih jarang ditemukan modul dengan penandatanganan kode sebagai driver perangkat yang dapat disalahgunakan,” kata para peneliti. “Modul ini sangat mudah didapat dan akan tersedia untuk semua orang sampai dihapus dari keberadaannya. Modul ini bisa bertahan lama sebagai utilitas yang berguna untuk melewati hak istimewa.”

“Pencabutan sertifikat dan deteksi antivirus mungkin membantu untuk mencegah penyalahgunaan, tetapi tidak ada solusi saat ini karena ini adalah modul yang sah.”

Sumber: The Hackernews

CodeRAT: Sumber Terbuka Pengembang Malware Setelah Diekspos

by

Kode sumber trojan akses jarak jauh (RAT) yang dijuluki ‘CodeRAT’ telah bocor di GitHub setelah analis malware mengonfrontasi pengembang tentang serangan yang menggunakan alat tersebut.

Operasi jahat, yang tampaknya berasal dari Iran, menargetkan pengembang perangkat lunak berbahasa Farsi dengan dokumen Word yang menyertakan eksploitasi Microsoft Dynamic Data Exchange (DDE).

Eksploitasi mengunduh dan mengeksekusi CodeRAT dari repositori GitHub pelaku ancaman, memberikan operator jarak jauh berbagai kemampuan pasca-infeksi.

Lebih khusus lagi, CodeRAT mendukung sekitar 50 perintah dan dilengkapi dengan kemampuan pemantauan ekstensif yang menargetkan webmail, dokumen Microsoft Office, database, platform jaringan sosial, lingkungan pengembangan terintegrasi (IDE) untuk Windows Android, dan bahkan situs web individual seperti PayPal.

Perusahaan keamanan siber SafeBreach melaporkan bahwa malware juga memata-matai jendela sensitif untuk alat seperti Visual Studio, Python, PhpStorm, dan Verilog – bahasa deskripsi perangkat keras untuk memodelkan sistem elektronik.

Untuk berkomunikasi dengan operatornya dan untuk mengekstrak data yang dicuri, CodeRAT menggunakan mekanisme berbasis Telegram yang mengandalkan API unggah file anonim publik alih-alih infrastruktur server perintah dan kontrol yang lebih umum.

Meskipun kampanye berhenti tiba-tiba ketika para peneliti menghubungi pengembang malware, CodeRAT kemungkinan akan menjadi lebih umum sekarang karena pembuatnya membuat kode sumber publik.

Detail CodeRAT

Malware ini mendukung sekitar 50 perintah yang mencakup mengambil tangkapan layar, menyalin konten clipboard, mendapatkan daftar proses yang sedang berjalan, menghentikan proses, memeriksa penggunaan GPU, mengunduh, mengunggah, menghapus file, menjalankan program.

Penyerang dapat membuat perintah melalui alat UI yang membangun dan mengaburkannya, lalu menggunakan salah satu dari tiga metode berikut untuk mengirimkannya ke malware:

1. Telegram bot API dengan proxy (tidak ada permintaan langsung)
2. Mode manual (termasuk opsi USB)
3. Perintah yang disimpan secara lokal di folder ‘myPictures’
Tiga metode yang sama juga dapat digunakan untuk eksfiltrasi data, termasuk file tunggal, seluruh folder, atau penargetan ekstensi file tertentu.

Jika negara korban telah melarang Telegram, CodeRAT menawarkan fungsionalitas anti-filter yang membuat saluran perutean permintaan terpisah yang dapat membantu melewati pemblokiran.

Penulis juga mengklaim bahwa malware dapat bertahan di antara reboot tanpa membuat perubahan apa pun pada registri Windows, tetapi SafeBreach tidak memberikan detail apa pun tentang fitur ini.

CodeRAT hadir dengan kemampuan kuat yang kemungkinan akan menarik penjahat dunia maya lainnya. Pengembang malware selalu mencari kode malware yang dapat dengan mudah diubah menjadi “produk” baru yang akan meningkatkan keuntungan mereka.

Sumber: BleepingComputer

Microsoft Defender salah mendeteksi Win32/Hive.ZY di Google Chrome, aplikasi Electron

by

Pembaruan tambahan untuk cerita di bawah ini, termasuk versi pembaruan intelijen keamanan yang diperlukan untuk memperbaiki False Positive (positif palsu) Win32/Hive.ZY.

Pembaruan tanda tangan Microsoft Defender yang buruk salah mendeteksi Google Chrome, Microsoft Edge, Discord, dan aplikasi Electron lainnya sebagai ‘Win32/Hive.ZY’ setiap kali aplikasi dibuka di Windows.

Masalah dimulai Minggu pagi ketika Microsoft mendorong pembaruan tanda tangan Defender 1.373.1508.0 untuk menyertakan dua deteksi ancaman baru, termasuk Behavior:Win32/Hive.ZY.

“Deteksi umum untuk perilaku mencurigakan ini dirancang untuk menangkap file yang berpotensi berbahaya. Jika Anda mengunduh file atau menerimanya melalui email, pastikan file tersebut berasal dari sumber yang dapat dipercaya sebelum membukanya,”

Microsoft Defender salah mendeteksi Win32/Hive.ZY
Sumber: Twitter

Meskipun Microsoft Defender akan terus menampilkan deteksi ini saat aplikasi dibuka, penting untuk dicatat bahwa ini adalah False Positive, dan perangkat Anda salah terdeteksi sebagai terinfeksi.

Untuk memeriksa pembaruan intelijen keamanan baru, pengguna Windows dapat mencari dan membuka Keamanan Windows dari Start Menu, klik Perlindungan virus & ancaman, lalu klik Periksa pembaruan di bawah Pembaruan perlindungan virus & ancaman.

Microsoft telah merilis pembaruan intelijen keamanan Microsoft Defender versi 1.373.1537.0 untuk menyelesaikan False Positive Win32/Hive.ZY yang dialami oleh pengguna Windows saat ini.

“Kami telah merilis pembaruan untuk mengatasi masalah ini dan pelanggan yang menggunakan pembaruan otomatis untuk Microsoft Defender tidak perlu melakukan tindakan tambahan.”

Selain itu, Microsoft berbagi bahwa pelanggan perusahaan yang mengelola pembaruan mereka harus memastikan mereka menggunakan deteksi build 1.373.1537.0 atau yang lebih baru.

Sumber: Bleeping Computer