Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

LockBit ransomware menyalahkan Entrust atas serangan DDoS di situs kebocoran

by

Situs kebocoran data operasi ransomware LockBit telah ditutup selama akhir pekan karena serangan DDoS yang meminta mereka untuk menghapus data yang diduga dicuri Entrust.

Pada akhir Juli, raksasa keamanan digital Entrust mengkonfirmasi serangan siber yang mengungkapkan bahwa pelaku ancaman telah mencuri data dari jaringannya selama intrusi pada bulan Juni.

Pekan lalu, LockBit mengaku bertanggung jawab atas serangan itu dan mulai membocorkan data pada Jumat malam.

Kebocoran ini terdiri dari 30 tangkapan layar data yang diduga dicuri dari Entrust, termasuk dokumen hukum, spreadsheet pemasaran, dan data akuntansi.

Dugaan data Entrust bocor di situs kebocoran data LockBit
Sumber: Dominic Alvieri

Segera setelah mereka mulai membocorkan data, para peneliti mulai melaporkan bahwa situs kebocoran data Tor milik geng ransomware tidak tersedia karena serangan DDoS.

Kemarin, grup riset keamanan VX-Underground mengetahui dari LockBitSupp, perwakilan operasi ransomware LockBit yang menghadap publik, bahwa situs Tor mereka diserang oleh seseorang yang mereka yakini terhubung dengan Entrust.

Seperti yang Anda lihat dari permintaan HTTPS ini, penyerang menambahkan pesan ke LockBit di bidang agen pengguna browser yang memberi tahu mereka untuk menghapus data Entrust.

Permintaan HTTPS DDoS dengan pesan ke LockBit

Peneliti Cisco Talos Azim Shukuhi mentweet bahwa serangan DDoS pada server LockBit terdiri dari “400 permintaan per detik dari lebih dari 1000 server.”

Sebagai pembalasan atas serangan itu, situs kebocoran data LockBit sekarang menampilkan pesan peringatan bahwa geng ransomware berencana untuk mengunggah semua data Entrust sebagai torrent, yang membuatnya hampir mustahil untuk dihapus.

Selanjutnya, para pelaku ancaman telah berbagi dugaan negosiasi antara Entrust dan geng ransomware dengan peneliti keamanan Soufiane Tahiri. Obrolan ini menunjukkan bahwa permintaan tebusan awal adalah $8 juta dan kemudian turun menjadi $6,8 juta.

LockBitSupp mengatakan bahwa perusahaan keamanan siber lain, Accenture, juga melakukan serangan serupa terhadap situs kebocoran data mereka tetapi kurang berhasil.

Situs kebocoran data operasi ransomware ALPHV juga turun akhir pekan ini dalam apa yang diyakini sebagai serangan DDoS. Namun, tidak diketahui apakah kedua serangan itu terkait.

Tidak jelas apakah Entrust, sebuah perusahaan keamanan siber yang berafiliasi, atau hanya aktor ancaman saingan mengambil keuntungan dari situasi dengan melakukan serangan.

Peneliti keamanan tidak yakin siapa yang menyerang LockBit, dengan beberapa mengatakan bahwa itu akan menjadi hal yang belum pernah terjadi sebelumnya bagi perusahaan keamanan siber untuk melakukan serangan seperti ini.

Meskipun kita mungkin tidak akan pernah tahu siapa yang berada di balik serangan ini, ini telah menunjukkan seberapa efektif serangan seperti ini dalam mengganggu operasi geng ransomware.

Sumber: Bleeping Computer

Malware Escanor dikirimkan dalam dokumen Microsoft Office yang dipersenjatai

by

Resecurity, sebuah perusahaan keamanan siber berbasis di Los Angeles yang melindungi Fortune 500 di seluruh dunia, mengidentifikasi RAT (Alat Administrasi Jarak Jauh) baru yang diiklankan di Dark Web dan Telegram bernama Escanor.

Pelaku ancaman menawarkan RAT versi Android dan berbasis PC, bersama dengan modul HVNC dan pembuat eksploitasi untuk mempersenjatai dokumen Microsoft Office dan Adobe PDF untuk mengirimkan kode berbahaya.

Alat ini telah dirilis untuk dijual pada tanggal 26 Januari tahun ini pada awalnya sebagai implan HVNC kompak yang memungkinkan untuk mengatur koneksi jarak jauh senyap ke komputer korban, dan kemudian diubah menjadi RAT komersial skala penuh dengan rangkaian fitur yang kaya.

Escanor telah membangun reputasi yang kredibel di Dark Web, dan menarik lebih dari 28.000 pelanggan di saluran Telegram. Di masa lalu, aktor dengan moniker yang persis sama merilis versi ‘crack’ dari alat Web Gelap lainnya, termasuk Venom RAT, 888 RAT, dan Pandora HVNC yang kemungkinan digunakan untuk memperkaya fungsionalitas Escanor lebih lanjut.

Escanor versi seluler (juga dikenal sebagai “Esca RAT”) secara aktif digunakan oleh penjahat dunia maya untuk menyerang pelanggan perbankan online dengan mencegat kode OTP. Alat ini dapat digunakan untuk mengumpulkan koordinat GPS korban, memantau penekanan tombol, mengaktifkan kamera tersembunyi, dan menelusuri file di perangkat seluler jarak jauh untuk mencuri data.

Sebagian besar sampel yang terdeteksi baru-baru ini telah dikirim menggunakan Escanor Exploit Builder. Para aktor menggunakan dokumen umpan yang meniru faktur dan pemberitahuan dari layanan online populer.

Khususnya, nama domain ‘escanor[.]live’ sebelumnya telah diidentifikasi sehubungan dengan infrastruktur AridViper (APT-C-23 / GnatSpy). APT-C-23 sebagai kelompok aktif di kawasan Timur Tengah, yang dikenal secara khusus menargetkan aset militer Israel. Setelah laporan dirilis oleh Qihoo 360, aktor Escanor RAT telah merilis video yang merinci bagaimana alat tersebut dapat digunakan untuk melewati deteksi AV.

Mayoritas korban yang terinfeksi oleh Escanor telah diidentifikasi di AS, Kanada, UEA, Arab Saudi, Kuwait, Bahrain, Mesir, Israel, Meksiko, dan Singapura dengan beberapa infeksi di Asia Tenggara.

Sumber: Bleeping Computer

Peretas telah menemukan cara baru untuk masuk ke akun Microsoft 365 Anda

by

Aktor ancaman yang disponsori negara Rusia, Cozy Bear (alias APT29 atau Nobelium) menemukan taktik baru untuk menyelinap ke akun Microsoft 365, dalam upaya untuk mencuri intelijen kebijakan luar negeri yang sensitif.

Hal tesebut berdasarkan laporan dari Siber Mandiant, yang mengklaim bahwa Cozy Bear menggunakan tiga teknik untuk mengeksekusi (dan menyamarkan) serangan:

  • Menonaktifkan Audit Lingkup sebelum terlibat dengan akun email yang disusupi
  • Brute-forcing Kata sandi Microsoft 365 yang belum mendaftar di otentikasi multi-faktor (MFA)
  • Menutupi jejak dengan menggunakan Mesin Virtual Azure melalui akun yang disusupi, atau dengan membeli layanan

Serangan baru pada Microsoft 365
Dalam Purview Audit para peneliti mengingatkan, fitur keamanan tingkat tinggi mencatat jika seseorang mengakses akun email di luar program (baik melalui browser, Graph API, atau melalui Outlook). Dengan begitu, departemen TI dapat mengelola semua akun dan memastikan tidak ada akses yang tidak sah.

Namun, APT29 mengetahui fitur ini dan memastikan untuk menonaktifkannya sebelum mengakses email.

Para peneliti juga menemukan Cozy Bear menyalahgunakan proses pendaftaran mandiri untuk MFA di Azure Active Directory (AD). Saat pengguna mencoba masuk untuk pertama kalinya, mereka harus mengaktifkan MFA di akun terlebih dahulu.

Pelaku ancaman sedang mencari cara untuk menghindari fitur ini dengan memaksa akun yang belum mendaftar ke fitur keamanan siber tingkat lanjut. Kemudian mereka menyelesaikan proses atas nama korban, memberikan akses tak terbatas ke infrastruktur VPN organisasi target ke seluruh jaringan dan endpoints.

Bagaimanapun, mesin virtual Azure sudah berisi alamat IP Microsoft, dan karena Microsoft 365 berjalan di Azure, tim TI kesulitan membedakan lalu lintas biasa dari lalu lintas berbahaya. Cozy Bear selanjutnya dapat menyembunyikan aktivitas Azure AD-nya dengan mencampurkan URL alamat aplikasi biasa dengan aktivitas jahat.

Kemungkinan pengguna biasa menjadi sasaran kelompok ancaman diyakini relatif rendah, tetapi organisasi besar perlu mewaspadai vektor serangan, yang dapat digunakan untuk menargetkan eksekutif profil tinggi dan orang lain yang memiliki akses ke informasi sensitif.

Sumber: Tech Radar

FBI memperingatkan proxy perumahan yang digunakan dalam serangan isian kredensial

by

FBI memperingatkan tren meningkatnya penjahat dunia maya yang menggunakan proxy perumahan untuk melakukan serangan isian kredensial skala besar tanpa dilacak, ditandai, atau diblokir.

Peringatan itu dikeluarkan sebagai Pemberitahuan Industri Swasta di Pusat Pengaduan Kejahatan Internet Biro (IC3) akhir pekan lalu untuk meningkatkan kesadaran di antara admin platform internet yang perlu menerapkan pertahanan terhadap serangan isian kredensial.

Karena orang biasanya menggunakan kata sandi yang sama di setiap situs, penjahat dunia maya memiliki banyak kesempatan untuk mengambil alih akun tanpa memecahkan kata sandi atau mengelabui informasi lainnya.

Untuk mengesampingkan perlindungan dasar, FBI memperingatkan bahwa pelaku ancaman menggunakan proxy perumahan untuk menyembunyikan alamat IP mereka yang sebenarnya di belakang yang umumnya dikaitkan dengan pengguna rumahan, yang tidak mungkin ada dalam daftar blokir.

Proxy adalah server online yang menerima dan meneruskan permintaan, membuatnya tampak seperti koneksi berasal dari mereka daripada inisiator (penyerang) yang sebenarnya.

Proksi perumahan lebih disukai daripada proksi yang di-hosting pusat data karena mereka mempersulit mekanisme perlindungan untuk membedakan antara lalu lintas konsumen yang mencurigakan dan biasa.

Biasanya, proxy ini tersedia untuk penjahat dunia maya dengan meretas perangkat perumahan yang sah seperti modem atau IoT lainnya atau melalui malware yang mengubah komputer pengguna rumahan menjadi proxy tanpa sepengetahuan mereka.

Dengan menggunakan alat ini, penjahat dunia maya mengotomatiskan serangan isian kredensial, dengan bot mencoba masuk di banyak situs menggunakan kredensial masuk yang dicuri sebelumnya.

Selain itu, beberapa alat proxy ini menawarkan opsi untuk memaksa kata sandi akun atau menyertakan “konfigurasi” yang memodifikasi serangan untuk mengakomodasi persyaratan tertentu, seperti memiliki karakter unik, panjang kata sandi minimum, dll.

Membuat konfigurasi di alat isian kredensial OpenBullet
Sumber: F5

FBI mengatakan serangan isian kredensial tidak terbatas pada situs web dan terlihat menargetkan aplikasi seluler karena keamanannya yang buruk.

Dalam operasi gabungan yang melibatkan FBI dan Polisi Federal Australia, agen-agen tersebut menyelidiki dua situs web yang berisi lebih dari 300.000 set kredensial unik yang diperoleh melalui serangan isian kredensial.

FBI mengatakan situs web ini menghitung lebih dari 175.000 pengguna terdaftar dan menghasilkan lebih dari $400.000 dalam penjualan untuk layanan mereka.

Penasihat FBI mendesak administrator untuk mengikuti praktik tertentu untuk membantu melindungi pengguna mereka dari kehilangan akun mereka karena serangan isian kredensial, bahkan ketika mereka menggunakan kata sandi yang lemah.

Selengkapnya : Bleeping Computer

Lazarus APT Korea Utara Menargetkan Chip M1 Apple

by

Advanced Persistent Threat (APT) Korea Utara Lazarus menyebarkan jaring yang lebih luas dengan kampanye Operation In(ter)ception yang sedang berlangsung, menargetkan Mac dengan chip M1 Apple.

Kelompok yang disponsori negara ini melanjutkan pendekatan yang disukai untuk meluncurkan serangan phishing dengan kedok peluang kerja palsu. Peneliti ancaman di penyedia deteksi titik akhir ESET memperingatkan minggu ini bahwa mereka menemukan Mac yang dapat dieksekusi yang disamarkan sebagai deskripsi pekerjaan untuk posisi manajer teknik di operator pertukaran cryptocurrency populer Coinbase.

Menurut peringatan ESET di Twitter, Lazarus mengunggah tawaran pekerjaan palsu ke VirusTotal dari Brasil. Lazarus merancang iterasi terbaru dari malware, Interception.dll, untuk dijalankan di Mac dengan memuat tiga file: dokumen PDF dengan posting pekerjaan Coinbase palsu dan dua executable, FinderFontsUpdater.app dan safarifontsagent, menurut peringatan tersebut. Biner dapat membahayakan Mac yang didukung baik dengan prosesor Intel dan dengan chipset M1 baru Apple.

Peneliti ESET mulai menyelidiki Operation In(ter)ception hampir tiga tahun lalu ketika para penelitinya menemukan serangan terhadap perusahaan kedirgantaraan dan militer. Mereka menentukan bahwa tujuan utama kampanye adalah spionase, meskipun juga menemukan contoh penyerang menggunakan akun email korban melalui kompromi email bisnis (BEC) untuk menyelesaikan operasi.

Malware Interception.dll memberikan tawaran pekerjaan yang menarik tetapi palsu untuk memikat korban yang tidak curiga, sering kali menggunakan LinkedIn.

Serangan Mac adalah yang terbaru dari rentetan upaya Lazarus untuk mempercepat Operasi In(ter)ception, yang telah meningkat dalam beberapa bulan terakhir. ESET menerbitkan buku putih terperinci tentang taktik oleh Lazarus dua tahun lalu.

Ironisnya, lowongan pekerjaan Coinbase yang menarik menargetkan orang-orang yang berorientasi teknis.

Apple mencabut sertifikat yang memungkinkan malware untuk dieksekusi akhir pekan lalu setelah ESET memperingatkan perusahaan tentang kampanye tersebut. Jadi sekarang, komputer dengan macOS Catalina v10.15 atau lebih baru dilindungi, dengan asumsi pengguna memiliki kesadaran keamanan dasar, catatan Kalnai.

Kampanye yang sedang berlangsung dan lainnya dari Korea Utara tetap membuat frustrasi pejabat pemerintah. FBI menyalahkan Lazarus karena mencuri $625 juta dalam cryptocurrency dari Ronin Network, yang mengoperasikan platform blockchain untuk game NFT populer Axie Infinity.

Andrew Grotto, yang menjabat sebagai direktur senior untuk kebijakan keamanan siber di Gedung Putih pada pemerintahan Obama dan Trump, mengatakan Korea Utara telah bangkit dari calon antagonis menjadi salah satu aktor ancaman paling agresif di dunia.

Sumber: Dark Reading

Situs WordPress diretas dengan peringatan Cloudflare DDoS palsu yang mendorong malware

by

Situs WordPress diretas untuk menampilkan halaman perlindungan Cloudflare DDoS palsu untuk mendistribusikan malware yang menginstal NetSupport RAT dan Trojan pencuri kata sandi RaccoonStealer.

Seperti yang dirinci dalam laporan oleh Sucuri, aktor ancaman meretas situs WordPress yang tidak terlindungi dengan baik untuk menambahkan muatan JavaScript yang sangat dikaburkan yang menampilkan layar DDoS perlindungan Cloudflare palsu.

Layar ini, yang ditunjukkan di bawah, meminta pengunjung mengklik tombol untuk melewati layar perlindungan DDoS. Namun, mengklik tombol akan mengunduh file ‘security_install.iso’ ke komputer, yang berpura-pura menjadi alat yang diperlukan untuk melewati verifikasi DDoS.

Korban kemudian disuruh membuka security_install.iso, yang mereka anggap sebagai aplikasi bernama DDOS GUARD, dan memasukkan kode yang ditampilkan.

Prompt kode verifikasi (atas) dan generator (bawah) (Sucuri)

Ketika pengguna membuka security_install.iso, mereka akan melihat file bernama security_install.exe, yang sebenarnya adalah pintasan Windows yang menjalankan perintah PowerShell dari file debug.txt.

Isi file security_install.iso
Sumber: BleepingComputer

Pada akhirnya, ini menyebabkan serangkaian skrip berjalan yang menampilkan kode DDoS palsu yang diperlukan untuk melihat situs, serta menginstal NetSupport RAT, trojan akses jarak jauh yang digunakan secara ekstensif dalam kampanye jahat saat ini.

Selain itu, skrip akan mengunduh trojan pencuri kata sandi Raccoon Stealer dan meluncurkannya di perangkat.

Rantai serangan perlindungan Cloudflare DDoS (Sucuri) palsu

Raccoon 2.0 menargetkan kata sandi, cookie, data pengisian otomatis, dan kartu kredit yang disimpan di browser web, berbagai dompet cryptocurrency, dan juga mampu melakukan eksfiltrasi file dan mengambil tangkapan layar dari desktop korban.

Admin harus memeriksa file tema situs WordPress mereka, karena menurut Sucuri, ini adalah titik infeksi paling umum dalam kampanye ini.

Kode berbahaya ditemukan di jquery.min.js (Sucuri)

Selain itu, disarankan untuk menggunakan sistem pemantauan integritas file untuk menangkap injeksi JS tersebut saat terjadi dan mencegah situs Anda menjadi titik distribusi RAT.

Pengguna internet dapat melindungi diri dari ancaman semacam itu dengan mengaktifkan pengaturan pemblokiran skrip yang ketat di browser mereka, meskipun itu akan merusak fungsionalitas hampir semua situs.

Sumber: Bleeping Computer

File ZIP terenkripsi dapat memiliki dua kata sandi yang benar

by

Arseniy Sharoglazov, seorang peneliti keamanan siber di Positive Technologies selama akhir pekan berbagi eksperimen sederhana di mana ia menghasilkan file ZIP yang dilindungi kata sandi yang disebut x.zip.

Kata sandi yang dipilih Sharoglazov untuk mengenkripsi ZIP-nya adalah plesetan dari hit 1987 yang menjadi meme teknologi populer:

Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You
Tetapi peneliti menunjukkan bahwa ketika mengekstrak x.zip menggunakan kata sandi yang sama sekali berbeda, dia tidak menerima pesan kesalahan.

Faktanya, menggunakan kata sandi yang berbeda menghasilkan ekstraksi ZIP yang berhasil, dengan konten asli yang utuh:

pkH8a0AqNbHcdw8GrmSp

Dua kata sandi berbeda untuk file ZIP yang sama menghasilkan ekstraksi yang berhasil (Sharoglazov)

BleepingComputer berhasil mereproduksi percobaan menggunakan program ZIP yang berbeda. Kami menggunakan p7zip (setara 7-Zip untuk macOS) dan utilitas ZIP lain yang disebut Keka.

Seperti arsip ZIP peneliti, arsip kami dibuat dengan kata sandi yang lebih panjang yang disebutkan di atas, dan dengan mode enkripsi AES-256 diaktifkan.

Sementara ZIP dienkripsi dengan kata sandi yang lebih panjang, menggunakan salah satu kata sandi berhasil mengekstrak arsip.

Saat membuat arsip ZIP yang dilindungi kata sandi dengan mode AES-256 diaktifkan, format ZIP menggunakan algoritme PBKDF2 dan meng-hash kata sandi yang diberikan oleh pengguna, jika kata sandi terlalu panjang. Terlalu panjang, yang kami maksud lebih dari 64 byte (karakter), jelas peneliti.

Alih-alih kata sandi yang dipilih pengguna (dalam hal ini “Nev1r-G0nna-G2ve-…”) hash yang baru dihitung ini menjadi kata sandi sebenarnya untuk file tersebut.

Saat pengguna mencoba mengekstrak file, dan memasukkan kata sandi yang lebih panjang dari 64 byte (“Nev1r-G0nna-G2ve-… “), input pengguna akan sekali lagi di-hash oleh aplikasi ZIP dan dibandingkan dengan yang benar kata sandi (yang sekarang menjadi hash). Kecocokan akan menghasilkan ekstraksi file yang sukses.

Kata sandi alternatif yang digunakan dalam contoh ini (“pkH8a0AqNbHcdw8GrmSp”) sebenarnya adalah representasi ASCII dari hash SHA-1 kata sandi yang lebih panjang.

SHA-1 checksum dari “Nev1r-G0nna-G2ve-…” = 706b4838613041714e62486364773847726d5370.

Checksum ini ketika dikonversi ke ASCII menghasilkan: pkH8a0AqNbHcdw8GrmSp

Namun, perhatikan bahwa saat mengenkripsi atau mendekripsi file, proses hashing hanya terjadi jika panjang kata sandi lebih dari 64 karakter.

Dengan kata lain, kata sandi yang lebih pendek tidak akan di-hash pada tahap kompresi atau dekompresi ZIP.

Inilah sebabnya mengapa ketika memilih string panjang “Nev1r-G0nna-G2ve-… ” sebagai kata sandi pada tahap enkripsi, kata sandi sebenarnya yang ditetapkan oleh program ZIP secara efektif adalah hash (SHA1) dari string ini.

Pada tahap dekripsi, jika Anda memasukkan “Nev1r-G0nna-G2ve-…,” itu akan di-hash dan dibandingkan dengan kata sandi yang disimpan sebelumnya (yang merupakan hash SHA1). Namun, memasukkan kata sandi “pkH8a0AqNbHcdw8GrmSp” yang lebih pendek pada tahap dekripsi akan membuat aplikasi secara langsung membandingkan nilai ini dengan kata sandi yang disimpan (yaitu, sekali lagi hash SHA1).

Subbagian Tabrakan HMAC dari PBKDF2 di Wikipedia memberikan lebih banyak wawasan teknis kepada pembaca yang tertarik.

Namun, fakta bahwa sekarang ada dua kemungkinan kata sandi untuk ZIP yang sama tidak menunjukkan kerentanan keamanan, “karena seseorang masih harus mengetahui kata sandi asli untuk menghasilkan hash kata sandi,” entri tersebut menjelaskan lebih lanjut.

Aspek kunci yang menarik untuk diperhatikan di sini adalah, representasi ASCII dari setiap hash SHA-1 tidak harus berupa alfanumerik.

Dengan kata lain, mari kita asumsikan kita telah memilih kata sandi berikut untuk file ZIP kita selama percobaan ini. Kata sandi lebih panjang dari 64 byte:

Bl33pingC0mputer-Sh0w-M3-H0W-t0-pR0Duc3-an-eNcRyPT3D-ZIP-File-dengan cara paling sederhana
Checksum SHA-1 yang keluar menjadi: bd0b8c7ab2bf5934574474fb403e3c0a7e789b61

Dan representasi ASCII dari checksum ini terlihat seperti sekumpulan byte yang tidak masuk akal—hampir tidak elegan seperti kata sandi alternatif yang dibuat oleh peneliti untuk eksperimennya:

Representasi ASCII dari hash SHA-1 dari Bl33pingC0mputer… kata sandi

BleepingComputer bertanya kepada Sharoglazov bagaimana dia bisa memilih kata sandi yang checksum SHA-1-nya sedemikian rupa sehingga representasi ASCII-nya menghasilkan string alfanumerik yang bersih.

Dengan menggunakan versi yang sedikit dimodifikasi dari alat pemulihan kata sandi sumber terbuka, hashcat, peneliti membuat variasi dari string “Never Gonna Give You Up…” menggunakan karakter alfanumerik hingga dia mendapatkan kata sandi yang sempurna.

Dan, begitulah cara Sharoglazov sampai pada kata sandi yang kira-kira berbunyi seperti “Never Gonna Give You Up…,” tetapi representasi ASCII dari checksum SHA-1-nya adalah satu string alfanumerik yang rapi.

Bagi sebagian besar pengguna, membuat file ZIP yang dilindungi kata sandi dengan pilihan kata sandi mereka sudah cukup dan hanya itu yang perlu mereka ketahui.

Tetapi jika Anda memutuskan untuk bertualang, eksperimen ini memberikan gambaran tentang salah satu dari banyak misteri seputar ZIP terenkripsi, seperti memiliki dua kata sandi untuk rahasia Anda yang dijaga.

Sumber: Bleeping Computer

Peretas Mencuri Crypto dari ATM Bitcoin dengan Mengeksploitasi Bug Zero-day

by

Peretas telah mengeksploitasi kerentanan zero-day di server ATM General Bytes Bitcoin untuk mencuri cryptocurrency dari pelanggan.

Ketika pelanggan akan menyetor atau membeli cryptocurrency melalui ATM, dana tersebut malah akan disedot oleh peretas

General Bytes adalah produsen ATM Bitcoin yang, bergantung pada produknya, memungkinkan orang untuk membeli atau menjual lebih dari 40 mata uang kripto yang berbeda.

ATM Bitcoin dikendalikan oleh Server Aplikasi Kripto (CAS) jarak jauh, yang mengelola operasi ATM, mata uang kripto apa yang didukung, dan melakukan pembelian dan penjualan mata uang kripto di bursa.

Peretas mengeksploitasi CAS zero-day

Kemarin, BleepingComputer dihubungi oleh pelanggan General Bytes yang memberi tahu kami bahwa peretas mencuri bitcoin dari ATM mereka.

“Kerentanan ini telah hadir dalam perangkat lunak CAS sejak versi 20201208.”

General Bytes percaya bahwa pelaku ancaman memindai internet untuk server terbuka yang berjalan pada port TCP 7777 atau 443, termasuk server yang dihosting di Digital Ocean dan layanan cloud General Bytes sendiri.

Pelaku ancaman kemudian mengeksploitasi bug untuk menambahkan pengguna admin default bernama ‘gb’ ke CAS dan memodifikasi pengaturan crypto ‘beli’ dan ‘jual’ dan ‘alamat pembayaran tidak valid’ untuk menggunakan dompet cryptocurrency di bawah kendali peretas.

Setelah tindakan ancaman mengubah pengaturan ini, setiap cryptocurrency yang diterima oleh CAS diteruskan ke peretas sebagai gantinya.

“ATM dua arah mulai meneruskan koin ke dompet penyerang ketika pelanggan mengirim koin ke ATM,” jelas penasihat keamanan.

General Bytes memperingatkan pelanggan untuk tidak mengoperasikan ATM Bitcoin mereka sampai mereka menerapkan dua rilis patch server, 20220531.38 dan 20220725.22, di server mereka.

Mereka juga menyediakan daftar periksa langkah-langkah yang harus dilakukan pada perangkat sebelum digunakan kembali.

Penting untuk diingat bahwa pelaku ancaman tidak akan dapat melakukan serangan ini jika server di-firewall hanya untuk mengizinkan koneksi dari alamat IP tepercaya.

Oleh karena itu, sangat penting untuk mengonfigurasi firewall hanya untuk mengizinkan akses ke Server Aplikasi Kripto dari alamat IP tepercaya, seperti dari lokasi ATM atau kantor pelanggan.

Menurut informasi yang diberikan oleh BinaryEdge, saat ini ada delapan belas Server Aplikasi Crypto Bytes Umum yang masih terhubung ke Internet, dengan mayoritas berlokasi di Kanada.

Tidak jelas berapa banyak server yang dilanggar menggunakan kerentanan ini dan berapa banyak cryptocurrency yang dicuri.

BleepingComputer menghubungi General Bytes kemarin dengan pertanyaan lebih lanjut tentang serangan itu tetapi tidak menerima tanggapan.

Sumber: BleepingComputer