Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Karyawan Rogue HackerOne mencuri laporan bug untuk dijual di samping

by

Seorang karyawan HackerOne mencuri laporan kerentanan yang dikirimkan melalui platform bug bounty dan mengungkapkannya kepada pelanggan yang terpengaruh untuk mengklaim hadiah finansial.

Pekerja nakal telah menghubungi sekitar setengah lusin pelanggan HackerOne dan mengumpulkan hadiah “dalam beberapa pengungkapan,” kata perusahaan itu pada hari Jumat.

HackerOne adalah platform untuk mengoordinasikan pengungkapan kerentanan dan menengahi hadiah uang untuk pemburu bug yang mengirimkan laporan keamanan.

Pada 22 Juni, HackerOne menanggapi permintaan pelanggan untuk menyelidiki pengungkapan kerentanan yang mencurigakan melalui saluran komunikasi di luar platform dari seseorang yang menggunakan pegangan “rzlr.”

Pelanggan telah memperhatikan bahwa masalah keamanan yang sama sebelumnya telah dikirimkan melalui HackerOne.

Tabrakan bug, di mana banyak peneliti menemukan dan melaporkan masalah keamanan yang sama, sering terjadi; dalam hal ini, laporan asli dan laporan dari aktor ancaman memiliki kesamaan yang jelas yang mendorong untuk melihat lebih dekat.

Investigasi HackerOne menentukan bahwa salah satu karyawannya memiliki akses ke platform selama lebih dari dua bulan, sejak mereka bergabung dengan perusahaan pada 4 April hingga 23 Juni, dan menghubungi tujuh perusahaan untuk melaporkan kerentanan yang telah diungkapkan melalui sistemnya.

Karyawan nakal itu menerima hadiah untuk beberapa laporan yang mereka kirimkan, kata perusahaan itu. Ini memungkinkan HackerOne untuk mengikuti jejak uang dan mengidentifikasi pelaku sebagai salah satu pekerjanya yang melakukan triage pengungkapan kerentanan untuk “banyak program pelanggan.”

Menganalisis lalu lintas jaringan aktor ancaman mengungkapkan lebih banyak bukti yang menghubungkan akun utama dan sockpuppet mereka di HackerOne.

Kurang dari 24 jam setelah memulai penyelidikan, platform bug bounty mengidentifikasi pelaku ancaman, menghentikan akses sistem mereka, dan mengunci laptop mereka dari jarak jauh sambil menunggu penyelidikan.

Selama beberapa hari berikutnya, HackerOne melakukan pencitraan forensik jarak jauh dan analisis komputer tersangka dan selesai meninjau log akses data untuk karyawan tersebut selama masa kerja untuk menentukan semua program hadiah bug yang berinteraksi dengan aktor ancaman.

Pada 30 Juni, HackerOne menghentikan pekerjaan aktor ancaman.

HackerOne mencatat bahwa mantan karyawannya telah menggunakan bahasa “mengancam” dan “mengintimidasi” dalam interaksi mereka dengan pelanggan dan mendesak pelanggan untuk menghubungi perusahaan jika mereka menerima pengungkapan yang dibuat dengan nada agresif.

Perusahaan mengatakan bahwa “dalam sebagian besar kasus” tidak ada bukti data kerentanan telah disalahgunakan. Namun, pelanggan yang memiliki laporan yang diakses oleh pelaku ancaman internal, baik untuk tujuan jahat atau sah, telah diinformasikan secara individual tentang tanggal dan waktu akses untuk setiap pengungkapan kerentanan.

Pemberitahuan tersebut memberi tahu peretas tentang insiden tersebut dan menyertakan daftar laporan yang diakses oleh aktor ancaman baik secara sah, sebagai bagian dari pekerjaan mereka, atau dengan maksud untuk menyalahgunakan kerentanan yang dikirimkan.

Pembaruan [3 Juli, 14:21 EST]: Artikel diperbarui dengan pemberitahuan HackerOne kepada peretas dengan laporan yang diakses oleh karyawan nakal.

Sumber: Bleeping Computer

Kaspersky Mengungkapkan Backdoor yang Menargetkan Banyak Organisasi di Seluruh Dunia

by

Kaspersky telah mengungkapkan “pintu belakang yang terdeteksi dengan buruk” yang disebut SessionManager yang telah digunakan terhadap organisasi di Afrika, Asia Selatan, Eropa, dan Timur Tengah setidaknya sejak Maret 2021.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” kata Kaspersky(Buka di jendela baru). “Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain, atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

SessionManager sendiri adalah modul untuk alat web server Internet Information Services(Opens in a new window) (IIS) dari Microsoft. Kaspersky mengatakan (Buka di jendela baru) pintu belakang adalah modul IIS yang mengawasi “permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya.” Semua itu kabarnya membuat SessionManager cukup sulit untuk dideteksi.

Kaspersky mencatat bahwa SessionManager tampaknya tidak melakukan sesuatu yang berbahaya—inti dari server web adalah untuk mengawasi permintaan HTTP. Siapa pun yang tidak mengharapkan server menerima permintaan tersebut mungkin tidak menjalankan IIS. (Setidaknya tidak dalam konfigurasi yang rentan terhadap serangan semacam itu.) Perusahaan mengatakan bahwa file SessionManager juga “sering ditempatkan di lokasi yang diabaikan yang berisi banyak file sah lainnya” untuk membuat deteksi menjadi lebih sulit.

“Secara keseluruhan, 34 server dari 24 organisasi dari Eropa, Timur Tengah, Asia Selatan, dan Afrika telah disusupi oleh SessionManager,” kata Kaspersky. “Aktor ancaman yang mengoperasikan SessionManager menunjukkan minat khusus pada LSM dan entitas pemerintah, tetapi organisasi medis, perusahaan minyak, perusahaan transportasi, antara lain, telah menjadi sasaran juga.”

Berbagai faktor, termasuk percobaan penggunaan malware yang disebut OwlProxy dan organisasi yang ditargetkan dengan pintu belakang SessionManager, telah membuat Kaspersky mengaitkan setidaknya beberapa aktivitas ini ke grup yang disebut Gelsemium. Lab52 telah menerbitkan laporan (Buka di jendela baru) di OwlProxy; ESET telah menerbitkan whitepaper(Buka di jendela baru) yang menjelaskan aktivitas Gelsemium sebelumnya. Kaspersky mencatat bahwa Gelsemium mungkin bukan satu-satunya grup yang menggunakan SessionManager, jadi atribusi ini tidak pasti.

Sumber: PCMag

Microsoft Menemukan Worm Raspberry Robin di Ratusan Jaringan Windows

by

Microsoft mengatakan bahwa worm Windows yang baru-baru ini ditemukan telah ditemukan di jaringan ratusan organisasi dari berbagai sektor industri.

Malware, yang dijuluki Raspberry Robin, menyebar melalui perangkat USB yang terinfeksi, dan pertama kali terlihat pada September 2021 oleh analis intelijen Red Canary.

Perusahaan keamanan siber Sekoia juga mengamatinya menggunakan perangkat QNAP NAS sebagai server perintah dan kontrol (C2) pada awal November, sementara Microsoft mengatakan menemukan artefak berbahaya yang terkait dengan worm ini yang dibuat pada 2019.

Temuan Redmond sejalan dengan temuan tim Rekayasa Deteksi Red Canary, yang juga mendeteksi worm ini di jaringan banyak pelanggan, beberapa di antaranya di sektor teknologi dan manufaktur.

Meskipun Microsoft mengamati malware yang terhubung ke alamat di jaringan Tor, pelaku ancaman belum mengeksploitasi akses yang mereka peroleh ke jaringan korban mereka.

Ini terlepas dari kenyataan bahwa mereka dapat dengan mudah meningkatkan serangan mereka karena malware dapat melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan alat Windows yang sah.

Alur Infeksi Worm
Raspberry Robin

Menyalahgunakan alat sah Windows untuk menginfeksi perangkat baru

Seperti yang telah disebutkan, Raspberry Robin menyebar ke sistem Windows baru melalui drive USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm memunculkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya yang tersimpan di drive yang terinfeksi.

Itu menginfeksi perangkat Windows baru, berkomunikasi dengan server perintah dan kontrolnya (C2), dan mengeksekusi muatan berbahaya menggunakan beberapa utilitas Windows yang sah:

  • fodhelper (biner tepercaya untuk mengelola fitur di pengaturan Windows),
  • msiexec (command line Windows Installer component),
  • dan odbcconf (alat untuk mengkonfigurasi driver ODBC).

“Sementara msiexec.exe mengunduh dan menjalankan paket penginstal yang sah, musuh juga memanfaatkannya untuk mengirimkan malware,” jelas peneliti Red Canary.

“Raspberry Robin menggunakan msiexec.exe untuk mencoba komunikasi jaringan eksternal ke domain berbahaya untuk tujuan C2.”

Peneliti keamanan yang melihat Raspberry Robin di alam liar belum mengaitkan malware tersebut dengan kelompok ancaman dan masih bekerja untuk menemukan tujuan akhir operatornya. Namun, Microsoft telah menandai kampanye ini sebagai kampanye berisiko tinggi, mengingat penyerang dapat mengunduh dan menyebarkan malware tambahan di dalam jaringan korban dan meningkatkan hak istimewa mereka kapan saja.

Sumber: BleepingComputer

Aplikasi Penipuan Penagihan Dapat Menonaktifkan Wi-Fi Android Dan Mencegat Pesan Teks

by Leave a Comment

Pengembang malware Android meningkatkan permainan penipuan penagihan mereka dengan aplikasi yang menonaktifkan koneksi Wi-Fi, secara diam-diam berlangganan pengguna ke layanan nirkabel yang mahal, dan mencegat pesan teks, semua dalam upaya untuk mengumpulkan biaya besar dan kuat dari pengguna yang tidak curiga, kata Microsoft pada hari Jumat.

Kelas ancaman ini telah menjadi fakta kehidupan di platform Android selama bertahun-tahun. Terlepas dari kesadaran akan masalah tersebut, sedikit yang memperhatikan kalau tekniknya sama sama seperti yang digunakan malware “penipuan pulsa”. Masukkan Microsoft, yang telah menerbitkan penyelaman mendalam teknis tentang masalah ini.

Mekanisme penagihan yang disalahgunakan dalam jenis penipuan ini adalah WAP, kependekan dari protokol aplikasi nirkabel, yang menyediakan sarana untuk mengakses informasi melalui jaringan seluler. Pengguna ponsel dapat berlangganan layanan tersebut dengan mengunjungi halaman web penyedia layanan saat perangkat mereka terhubung ke layanan seluler, lalu mengklik tombol. Dalam beberapa kasus, operator akan merespons dengan mengirim SMS kata sandi satu kali (OTP) ke telepon dan meminta pengguna untuk mengirimkannya kembali untuk memverifikasi permintaan berlangganan. Prosesnya terlihat seperti ini:

Wireless Application Protocol

Tujuan dari aplikasi jahat adalah untuk berlangganan telepon yang terinfeksi ke layanan WAP ini secara otomatis, tanpa pemberitahuan atau persetujuan dari pemiliknya. Pengembang malware memiliki berbagai cara untuk memaksa ponsel menggunakan koneksi seluler meskipun terhubung ke Wi-Fi. Pada perangkat yang menjalankan Android 9 atau versi lebih lama, developer dapat memanggil metode setWifiEnabled dari kelas WifiManager. Untuk versi 10 dan di atasnya, pengembang dapat menggunakan fungsi requestNetwork dari kelas ConnectivityManager. Akhirnya, ponsel akan memuat data secara eksklusif melalui jaringan seluler, seperti yang ditunjukkan pada gambar ini:

Tampilan Mobile Data dan Wifi

Setelah telepon menggunakan jaringan seluler untuk transmisi data, aplikasi jahat diam-diam membuka browser di latar belakang, menavigasi ke halaman berlangganan WAP, dan mengklik tombol berlangganan. Mengonfirmasi langganan bisa jadi rumit karena permintaan konfirmasi dapat datang melalui protokol SMS, HTTP, atau USSD. Microsoft menjabarkan metode khusus yang dapat digunakan pengembang malware untuk melewati setiap jenis konfirmasi. Posting Microsoft kemudian menjelaskan bagaimana malware menekan pesan berkala yang mungkin dikirimkan oleh layanan berlangganan kepada pengguna untuk mengingatkan mereka tentang langganan mereka.

“Dengan berlangganan layanan premium kepada pengguna, malware ini dapat menyebabkan korban menerima tagihan tagihan seluler yang signifikan,” tulis peneliti Microsoft. “Perangkat yang terpengaruh juga memiliki peningkatan risiko karena ancaman ini berhasil menghindari deteksi dan dapat mencapai jumlah penginstalan yang tinggi sebelum satu varian akan dihapus.”

Google secara aktif melarang aplikasi dari pasar Play-nya saat mendeteksi tanda-tanda penipuan atau kejahatan, atau saat menerima laporan aplikasi berbahaya dari pihak ketiga. Meskipun Google sering kali tidak menghapus aplikasi berbahaya sampai mereka menginfeksi jutaan pengguna, aplikasi yang diunduh dari Play umumnya dianggap lebih tepercaya daripada aplikasi dari pasar pihak ketiga.

Sumber: ArsTechnica

Backdoor ‘SessionManager’ Baru Menargetkan Server Microsoft IIS di Alam Liar

by

Malware yang baru ditemukan telah digunakan di alam liar setidaknya sejak Maret 2021 ke server Microsoft Exchange pintu belakang milik berbagai entitas di seluruh dunia, dengan infeksi yang masih ada di 20 organisasi pada Juni 2022.

Dijuluki SessionManager, alat jahat menyamar sebagai modul untuk Layanan Informasi Internet (IIS), perangkat lunak server web untuk sistem Windows, setelah mengeksploitasi salah satu kelemahan ProxyLogon dalam server Exchange.

Target termasuk 24 LSM, pemerintah, militer, dan organisasi industri yang berbeda yang mencakup Afrika, Amerika Selatan, Asia, Eropa, Rusia, dan Timur Tengah. Total 34 server telah disusupi oleh varian SessionManager hingga saat ini.

Ini jauh dari pertama kalinya teknik ini diamati dalam serangan dunia nyata. Penggunaan modul IIS nakal sebagai sarana untuk mendistribusikan implan tersembunyi memiliki gema dalam pencuri kredensial Outlook yang disebut Owowa yang terungkap pada Desember 2021.

“Menjatuhkan modul IIS sebagai pintu belakang memungkinkan pelaku ancaman untuk mempertahankan akses yang persisten, tahan pembaruan, dan relatif tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan; baik itu untuk mengumpulkan email, memperbarui akses jahat lebih lanjut, atau secara sembunyi-sembunyi mengelola server yang disusupi yang dapat dimanfaatkan sebagai infrastruktur berbahaya,” kata peneliti Kaspersky, Pierre Delcher.

ProxyLogon, sejak pengungkapannya pada Maret 2021, telah menarik perhatian berulang kali dari beberapa pelaku ancaman dengan kru Gelsemium mengeksploitasi kelemahan untuk menjatuhkan SessionManager, sebuah pintu belakang yang dikodekan dalam C++ dan direkayasa untuk memproses HTTP permintaan dikirim ke server.

“Modul jahat seperti itu biasanya mengharapkan permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya,” Delcher dijelaskan.

Dikatakan sebagai “pintu belakang akses awal persisten yang ringan,” SessionManager hadir dengan kemampuan untuk membaca, menulis, dan menghapus file arbitrer; mengeksekusi binari dari server; dan membangun komunikasi dengan titik akhir lain dalam jaringan.

Malware ini selanjutnya bertindak sebagai saluran rahasia untuk melakukan pengintaian, mengumpulkan kata sandi dalam memori, dan mengirimkan alat tambahan seperti Mimikatz serta utilitas dump memori dari Avast.

Temuan ini muncul saat Badan Keamanan Siber dan Infrastruktur AS (CISA) mendesak lembaga pemerintah dan entitas sektor swasta yang menggunakan platform Exchange untuk beralih dari metode Otentikasi Dasar lama ke alternatif Otentikasi Modern sebelum dihentikan pada 1 Oktober 2022.

Sumber: The Hacker News

Jenkins Mengungkap Lusinan Bug Zero-Day di Beberapa Plugin

by

Pada hari Kamis, tim keamanan Jenkins mengumumkan 34 kerentanan keamanan yang memengaruhi 29 plugin untuk server otomatisasi open source Jenkins, 29 dari bug tersebut masih dalam keadaan zero-days yang masih menunggu untuk ditambal.

Jenkins adalah platform yang sangat populer (dengan dukungan untuk lebih dari 1.700 plugin) yang digunakan oleh perusahaan di seluruh dunia untuk membangun, menguji, dan menerapkan perangkat lunak.

Skor dasar CVSS zero-days berkisar dari tingkat keparahan rendah hingga tinggi, dan, menurut statistik Jenkins, plugin yang terpengaruh memiliki total lebih dari 22.000 pemasangan.

Daftar lengkap kelemahan yang belum ditambal termasuk XSS, XSS Tersimpan, bug Pemalsuan Permintaan Lintas Situs (CSRF), pemeriksaan izin yang hilang atau salah, serta kata sandi, rahasia, kunci API, dan token yang disimpan dalam teks biasa.

Untungnya, sebagian besar yang berbahaya, zero-days dengan tingkat keparahan tinggi, memerlukan interaksi pengguna untuk dieksploitasi dalam serangan dengan kompleksitas rendah oleh penyerang jarak jauh dengan hak istimewa yang rendah.

Berdasarkan data Shodan, saat ini ada lebih dari 144.000 server Jenkins yang terpapar Internet yang dapat menjadi sasaran serangan jika menjalankan plugin yang belum ditambal.

Sementara tim Jenkins telah menambal empat plugin (yaitu, GitLab, plugin permintaan, Hasil TestNG, Rilis XebiaLabs XL), masih ada daftar panjang plugin yang rentan, termasuk:

  • Build Notifications Plugin hingga dan termasuk 1.5.0
  • build-metrics Plugin hingga dan termasuk 1.3
  • Cisco Spark Plugin hingga dan termasuk 1.1.1
  • Deployment Dashboard Plugin hingga dan termasuk 1.0.10
  • Elasticsearch Query Plugin hingga dan termasuk 1.2
  • eXtreme Feedback Panel Plugin hingga dan termasuk 2.0.1

“Pada publikasi nasihat ini, tidak ada perbaikan,” kata tim keamanan Jenkins ketika menjelaskan kerentanan yang belum ditambal.

Meskipun tidak ada kerentanan yang merupakan kerentanan kritis yang dapat membuat pelaku ancaman mengeksekusi kode atau perintah dari jarak jauh pada server yang rentan untuk mengambil alih, mereka dapat menjadi sasaran dalam serangan terhadap jaringan perusahaan.

Ini bukan pertama kalinya terjadi sejak server Jenkins yang belum ditambal telah dikompromikan sebelumnya untuk menambang cryptocurrency Monero.

Namun, penyerang potensial kemungkinan besar akan mengeksploitasi zero-days ini dalam serangan pengintaian yang memungkinkan mereka mendapatkan lebih banyak wawasan tentang infrastruktur perusahaan yang ditargetkan.

Selengkapnya: BleepingComputer

Alat Penginstal USB Menghapus Persyaratan Akun Microsoft Windows 11

by

Salah satu “fitur” baru yang datang ke pembaruan Windows 11 22H2 adalah persyaratan akun Microsoft untuk semua pemasangan baru, terlepas dari apakah Anda menggunakan sistem operasi versi Home atau Pro. Dan itu terlalu buruk, karena pembaruan 22H2 mengoreksi beberapa kekurangan asli Windows 11 sambil menambahkan beberapa peningkatan kualitas hidup yang bagus.

Solusi mudah untuk persyaratan ini adalah alat pemformatan USB Rufus, yang dapat membuat media penginstalan USB untuk Windows dan semua jenis sistem operasi lainnya. Rufus telah menawarkan beberapa tanda untuk menghapus pemeriksaan persyaratan sistem Windows 11 dari penginstal, menghilangkan kebutuhan akan pengeditan Registri Windows yang kikuk dan solusi lainnya. Tetapi versi beta dari 3.19 juga akan menghapus persyaratan akun Microsoft untuk pemasangan baru, sehingga memudahkan untuk menyiapkan PC Windows baru dengan akun lokal tradisional.

Saat mengatur Windows 11, pastikan untuk tidak menghubungkan PC Anda ke Internet sebelum membuat akun pengguna Anda. Trik ini berfungsi untuk menghindari persyaratan akun Microsoft di Windows 11 Pro dan beberapa versi Windows 10 yang lebih baru tetapi sedang dihapus seluruhnya dari Windows 11 22H2. Alat Rufus hanya kembali ke status quo sebelum 22H2.

Jika Anda menggunakan Rufus untuk menghindari persyaratan sistem Windows 11, sistem Anda akan tetap “tidak didukung” setelah Anda menjalankan dan menjalankan Windows 11. Itu berarti memasang pesan pengingat berkala tentang perangkat keras yang tidak didukung dan ancaman samar bahwa Microsoft pada akhirnya akan berhenti menyediakan pembaruan dan patch keamanan untuk sistem yang tidak didukung. Di sisi lain, Rufus tidak membuat TPM dan fitur keamanan Windows 11 tidak berfungsi setelah OS diinstal, jadi jika Anda ingin membuat penginstal USB tunggal yang akan mencakup perangkat keras yang didukung dan tidak, Rufus memungkinkannya.

Microsoft menyediakan alat pembuatan medianya sendiri untuk orang-orang yang ingin membuat drive penginstalan USB untuk Windows 10 atau Windows 11, tetapi jelas tidak menawarkan pengelakan yang sama untuk persyaratan perusahaan.

Sumber: ArsTechnica

Server Microsoft Exchange di Seluruh Dunia Di-backdoor dengan Malware Baru

by Leave a Comment

Penyerang menggunakan malware yang baru ditemukan untuk mem-backdoor server Microsoft Exchange milik pemerintah dan organisasi militer dari Eropa, Timur Tengah, Asia, dan Afrika.

Malware, yang dijuluki SessionManager oleh peneliti keamanan di Kaspersky, yang pertama kali terlihat pada awal 2022 adalah modul kode asli berbahaya untuk perangkat lunak server web Internet Information Services (IIS) Microsoft.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” Kaspersky mengungkapkan pada hari Kamis.

“Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

Kemampuan SessionManager mencakup, di antara fitur-fitur lainnya:

  • menjatuhkan dan mengelola file arbitrer di server yang disusupi
  • eksekusi perintah jarak jauh pada perangkat pintu belakang
  • menghubungkan ke titik akhir dalam jaringan lokal korban dan memanipulasi lalu lintas jaringan

Setelah penyebaran, modul IIS yang berbahaya memungkinkan operatornya untuk mengambil kredensial dari memori sistem, mengumpulkan informasi dari jaringan korban dan perangkat yang terinfeksi, dan mengirimkan muatan tambahan (seperti pemuat reflektif Mimikatz berbasis PowerSploit, Mimikatz SSP, ProcDump, dan alat pembuangan memori Avast yang sah).

Tautan grup APT Gelsemium

Berdasarkan viktimologi serupa dan penggunaan varian pintu belakang tipe server HTTP yang disebut OwlProxy, pakar keamanan Kaspersky percaya bahwa pintu belakang SessionManager IIS dimanfaatkan dalam serangan ini oleh aktor ancaman Gelsemium sebagai bagian dari operasi spionase di seluruh dunia.

Grup peretasan ini telah aktif setidaknya sejak 2014 dan dikenal menargetkan pemerintah, produsen elektronik, dan universitas dari Asia Timur dan Timur Tengah dan sebagian besar terbang di bawah radar.
“Eksploitasi kerentanan server pertukaran telah menjadi favorit penjahat dunia maya yang ingin masuk ke infrastruktur yang ditargetkan sejak Q1 2021. SessionManager yang baru ditemukan tidak terdeteksi dengan baik selama satu tahun dan masih digunakan di alam liar,” tambah Pierre Delcher, Peneliti Keamanan Senior di GREAT Kaspersky.

Sumber: BleepingComputer