Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Hasil pencarian CCleaner beracun menyebarkan malware pencuri informasi

by

Malware yang mencuri kata sandi, kartu kredit, dan dompet kripto Anda dipromosikan melalui hasil pencarian untuk salinan bajakan program pengoptimalan CCleaner Pro Windows.

Kampanye distribusi malware baru ini dijuluki “FakeCrack,” dan ditemukan oleh analis di Avast, yang melaporkan mendeteksi rata-rata 10.000 upaya infeksi setiap hari dari data telemetri pelanggannya. Sebagian besar korban ini berbasis di Prancis, Brasil, Indonesia, dan India.

Malware yang didistribusikan dalam kampanye ini adalah pencuri informasi yang kuat yang dapat memanen data pribadi dan aset cryptocurrency dan mengarahkan lalu lintas internet melalui proxy penyadap data.

Pelaku ancaman mengikuti teknik Black Hat SEO untuk memberi peringkat situs web distribusi malware mereka tinggi di hasil Google Penelusuran sehingga lebih banyak orang akan tertipu untuk mengunduh executable yang dicampur.

Daya tarik yang dilihat oleh Avast adalah CCleaner Professional versi crack, pembersih sistem Windows populer dan pengoptimal kinerja yang masih dianggap sebagai utilitas “harus dimiliki” oleh banyak pengguna.

Hasil Google Penelusuran yang mengarah ke situs berbahaya (Avast)

Hasil pencarian beracun membawa korban melalui beberapa situs web yang akhirnya menampilkan halaman arahan yang menawarkan unduhan file ZIP. Halaman arahan ini biasanya dihosting di platform hosting file yang sah seperti filesend.jp atau mediafire.com.

Portal distribusi malware (Avast)

ZIP dilindungi kata sandi menggunakan PIN yang lemah seperti “1234”, yang hanya ada untuk melindungi muatan dari deteksi anti-virus.

File di dalam arsip biasanya bernama “setup.exe” atau “cracksetup.exe,” tetapi Avast telah melihat delapan executable berbeda yang digunakan dalam kampanye ini.

Korban malware ditipu untuk menginstal upaya untuk mencuri informasi yang disimpan di browser web, seperti kata sandi akun, kartu kredit yang disimpan, dan kredensial dompet cryptocurrency.

Selain itu, ia memantau clipboard untuk alamat dompet yang disalin dan menggantinya dengan yang berada di bawah kendali operator malware untuk mengalihkan pembayaran. Fitur pembajakan clipboard ini bekerja dengan berbagai alamat cryptocurrency, termasuk alamat Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin, dan Bitcoin Cash.

Script memantau clipboard (Avast)

Malware ini juga menggunakan proxy untuk mencuri kredensial akun pasar cryptocurrency menggunakan serangan man-in-the-middle yang sangat sulit dideteksi atau disadari oleh korban.

Mekanisme proxy ini ditambahkan melalui kunci registri baru di “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”.

Korban dapat menonaktifkannya dengan menavigasi ke Jaringan & internet di Pengaturan Windows dan mengalihkan opsi “Gunakan server proxy” ke Mati.

Kampanye ini sudah tersebar luas, dan tingkat infeksinya tinggi, jadi hindari mengunduh perangkat lunak yang retak dari mana saja, bahkan jika situs unduhan memiliki peringkat tinggi di Google Penelusuran.

Sumber: Bleeping Computer

Pengguna Ubuntu Dapatkan Pembaruan Kernel Linux Besar-besaran, 35 Kerentanan Keamanan Ditambal

by

Pembaruan keamanan kernel Linux baru datang sekitar dua minggu setelah pembaruan sebelumnya, yang merupakan pembaruan kecil yang hanya menambal tiga kelemahan keamanan, dan tersedia untuk semua rilis Ubuntu yang didukung, termasuk Ubuntu 22.04 LTS (Jammy Jellyfish), Ubuntu 21.10 (Impish Indri), Ubuntu 20.04 LTS (Focal Fossa), Ubuntu 18.04 LTS (Bionic Beaver), serta rilis Ubuntu 16.04 dan 14.04 ESM.

Ada lebih dari 30 kerentanan keamanan yang ditambal dalam pembaruan kernel Ubuntu besar-besaran ini. Salah satunya adalah CVE-2022-1966, kerentanan penggunaan setelah bebas yang ditemukan oleh Aaron Adams di subsistem netfilter yang dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem) atau mengeksekusi kode arbitrer, serta seperti CVE-2022-21499, kelemahan kernel yang memungkinkan penyerang dengan hak istimewa untuk melewati batasan UEFI Secure Boot, dan CVE-2022-28390, kerentanan bebas ganda yang ditemukan dalam implementasi antarmuka EMS CAN/USB, yang memungkinkan penyerang lokal menyebabkan penolakan layanan (kelelahan memori).

Kerentanan tersebut mempengaruhi kernel sistem Ubuntu 22.04 LTS, Ubuntu 21.10, Ubuntu 20.04 LTS, dan Ubuntu 18.04 LTS, patch keamanan kernel Linux yang baru juga membahas CVE-2022-1158, sebuah kelemahan yang ditemukan oleh Qiuhao Li, Gaoning Pan, dan Yongkang Jia di Implementasi KVM, yang memungkinkan penyerang di VM tamu membuat crash OS host.

Kerentanan keamanan umum lainnya yang ditambal dalam pembaruan besar-besaran ini adalah CVE-2022-1972, masalah keamanan yang memengaruhi sistem Ubuntu 22.04 LTS yang menjalankan kernel Linux 5.15 LTS, serta sistem Ubuntu 21.10 dan Ubuntu 20.04 LTS yang menjalankan kernel Linux 5.13, ditemukan oleh Ziming Zhang di subsistem netfilter, dan CVE-2022-24958, kerentanan penggunaan setelah bebas yang ditemukan di antarmuka sistem file Gadget USB dan memengaruhi kernel Linux 5.13 dari sistem Ubuntu 21.10 dan 20.04 LTS, serta kernel Linux 5.4 LTS dari Ubuntu 20,04 LTS dan 18,04 LTS sistem. Kedua kelemahan ini dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem) atau mengeksekusi kode arbitrer.

Hal yang sama berlaku untuk CVE-2022-28356, kerentanan keamanan yang ditemukan oleh di driver 802.2 LLC tipe 2 kernel Linux, CVE-2022-28389, kerentanan bebas ganda yang ditemukan dalam implementasi antarmuka Microchip CAN BUS Analyzer, CVE-2022- 1198, kerentanan penggunaan setelah bebas yang ditemukan oleh Duoming Zhou dalam implementasi protokol 6pack, CVE-2022-1516, kelemahan yang ditemukan dalam implementasi protokol jaringan X.25, dan CVE-2022-1353, masalah keamanan yang ditemukan di implementasi PF_KEYv2. Masalah ini memengaruhi kernel sistem Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, dan Ubuntu 18.04 LTS dan dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem) atau mengekspos informasi sensitif (memori kernel).

Kerentanan keamanan umum lainnya yang ditambal dalam pembaruan kernel Ubuntu baru ini, kali ini memengaruhi kernel sistem Ubuntu 20.04 LTS dan Ubuntu 18.04 LTS, adalah CVE-2021-3772, sebuah kelemahan yang ditemukan dalam implementasi protokol SCTP kernel Linux yang memungkinkan penyerang jarak jauh untuk menyebabkan penolakan layanan (disassociation koneksi).

Hanya untuk sistem Ubuntu 22.04 LTS yang menjalankan kernel Linux 5.15 LTS, pembaruan keamanan baru mengatasi 10 kerentanan lainnya, termasuk CVE-2022-1671, cacat yang ditemukan dalam implementasi soket sesi RxRPC yang memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem ) atau mungkin mengekspos informasi sensitif (memori kernel), CVE-2022-1204, CVE-2022-1205, dan CVE-2022-1199, tiga kelemahan yang ditemukan oleh Duoming Zhou dalam implementasi protokol radio amatir AX.25 yang memungkinkan lokal penyerang menyebabkan penolakan layanan (kerusakan sistem), serta CVE-2022-1263, masalah keamanan KVM yang ditemukan oleh Qiuhao Li, Gaoning Pan, dan Yongkang Jia yang dapat memungkinkan penyerang lokal di VM tamu merusak host sistem.

Juga ditambal di kernel Linux 5.15 LTS dari sistem Ubuntu 22.04 LTS adalah CVE-2022-28388, kerentanan bebas ganda yang ditemukan dalam implementasi antarmuka 8 Perangkat USB2CAN, CVE-2022-1651, cacat yang ditemukan dalam implementasi ACRN Hypervisor Service Module , CVE-2022-1048, beberapa kondisi balapan yang ditemukan oleh Hu Jiahui dalam kerangka kerja ALSA, CVE-2022-0168, sebuah cacat yang ditemukan oleh Billy Jheng Bing dalam implementasi sistem file jaringan CIFS, dan CVE-2022-1195, penggunaan- kerentanan after-free ditemukan dalam implementasi protokol 6pack dan mkiss. Masalah keamanan ini dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (sistem crash atau kehabisan memori) atau mungkin mengeksekusi kode arbitrer.

Hanya untuk sistem Ubuntu 20.04 LTS dan Ubuntu 18.04 LTS yang menjalankan kernel Linux 5.4 LTS, pembaruan keamanan baru membahas 10 kerentanan lainnya, termasuk CVE-2022-23036, CVE-2022-23037, CVE-2022-23038,
CVE-2022-23039, CVE-2022-23040, CVE-2022-23041, dan CVE-2022-23042, serangkaian kelemahan yang ditemukan di beberapa frontend perangkat para-virtualisasi Xen oleh Demi Marie Obenour dan Simon Gaiser, yang dapat memungkinkan penyerang untuk mendapatkan akses ke halaman memori VM tamu atau menyebabkan penolakan layanan pada tamu dengan menggunakan backend Xen yang berbahaya.

Juga ditambal di kernel Linux 5.4 LTS dari sistem Ubuntu 20.04 LTS dan Ubuntu 18.04 LTS adalah CVE-2022-1011, kerentanan penggunaan-setelah-bebas yang ditemukan oleh Jann Horn Google Project Zero dalam implementasi sistem file FUSE, yang dapat memungkinkan lokal penyerang menyebabkan penolakan layanan (kerusakan sistem) atau mungkin mengeksekusi kode arbitrer, CVE-2021-4197, masalah keamanan yang ditemukan oleh Eric Biederman dalam implementasi migrasi proses cgroup, yang memungkinkan penyerang lokal mendapatkan hak administratif, dan CVE -2022-26966, sebuah cacat ditemukan pada driver perangkat ethernet USB SR9700 yang dapat memungkinkan penyerang terdekat secara fisik untuk mengekspos informasi sensitif (memori kernel).

Last but not least, pembaruan kernel Ubuntu besar-besaran baru ini memperbaiki tiga kerentanan keamanan lain yang mempengaruhi kernel Linux 4.15 dari sistem Ubuntu 18.04 LTS. Ini adalah CVE-2022-1016, masalah keamanan yang ditemukan oleh David Bouman di subsistem netfilter yang memungkinkan penyerang lokal untuk mengekspos informasi sensitif (memori kernel), CVE-2021-4149, masalah keamanan yang ditemukan dalam implementasi sistem file Btrfs memungkinkan lokal
penyerang menyebabkan penolakan layanan (kernel deadlock), serta CVE-2022-1419, kondisi balapan yang ditemukan dalam implementasi manajer memori grafis virtual yang berpotensi menyebabkan kebocoran informasi.

Canonical mendesak semua pengguna Ubuntu untuk memperbarui instalasi mereka ke versi kernel baru (linux-image 5.15.0.37.39 untuk Ubuntu 22.04 LTS, linux-image 5.13.0.48.56 untuk Ubuntu 21.10 dan 20.04.4 LTS, linux-image 5.4. 0.117.120 untuk Ubuntu 20.04 LTS, linux-image 5.4.0-117.132~18.04.1 untuk Ubuntu 18.04.6 LTS, serta linux-image 4.15.0.184.172 untuk Ubuntu 18.04 LTS), sesegera mungkin dengan menggunakan utilitas Pembaruan Perangkat Lunak atau dengan menjalankan perintah sudo apt update && sudo apt full-upgrade di aplikasi Terminal. Reboot sistem diperlukan setelah menginstal versi kernel baru!

Sumber: 9to5linuX

Malware SVCReady baru dimuat dari properti dokumen Word

by

Pemuat malware yang sebelumnya tidak dikenal bernama SVCReady telah ditemukan dalam serangan phishing, menampilkan cara yang tidak biasa untuk memuat malware dari dokumen Word ke mesin yang disusupi.

Lebih khusus lagi, ia menggunakan kode makro VBA untuk mengeksekusi shellcode yang disimpan di properti dokumen yang tiba di target sebagai lampiran email.

Menurut laporan baru oleh HP, malware tersebut telah digunakan sejak April 2022, dengan pengembang merilis beberapa pembaruan pada Mei 2022. Ini menunjukkan bahwa malware tersebut saat ini sedang dalam pengembangan berat, kemungkinan masih dalam tahap awal.

Namun, itu sudah mendukung eksfiltrasi informasi, ketekunan, fitur anti-analisis, dan komunikasi C2 terenkripsi.

Rantai infeksi dimulai dengan email phishing yang membawa lampiran .doc berbahaya.

Namun, bertentangan dengan praktik standar menggunakan PowerShell atau MSHTA melalui makro berbahaya untuk mengunduh muatan dari lokasi yang jauh, kampanye ini menggunakan VBA untuk menjalankan shellcode yang bersembunyi di properti file.

Seperti yang ditunjukkan di bawah ini, shellcode ini disimpan di properti dokumen Word, yang diekstraksi dan dieksekusi oleh makro.

Shellcode disembunyikan di properti dokumen (HP)

Dengan memisahkan makro dari kode shell berbahaya, pelaku ancaman berusaha untuk melewati perangkat lunak keamanan yang biasanya dapat mendeteksinya.

Kode shell yang sesuai dimuat memori tino dari mana ia akan menggunakan fungsi Windows API “Virtual Protect” untuk memperoleh hak akses yang dapat dieksekusi.

Selanjutnya, SetTimer API meneruskan alamat shellcode dan mengeksekusinya. Tindakan ini menghasilkan DLL (payload malware) jatuh ke direktori %TEMP%.

Salinan “rundll32.exe”, biner Windows yang sah, juga ditempatkan di direktori yang sama dengan nama yang berbeda dan akhirnya disalahgunakan untuk menjalankan SVCReady.

Malware SVCReady dimulai dengan membuat profil sistem melalui kueri Registry dan panggilan Windows API dan mengirimkan semua informasi yang dikumpulkan ke server C2 melalui permintaan HTTP POST.

Komunikasi dengan C2 dienkripsi menggunakan kunci RC4. Analis HP berkomentar bahwa fungsi ini ditambahkan pada bulan Mei selama salah satu pembaruan malware.

Malware ini juga membuat dua kueri WMI pada host untuk mencari tahu apakah itu berjalan di lingkungan virtual dan memasuki mode tidur selama 30 menit jika melakukannya untuk menghindari analisis.

Malware memasuki mode tidur untuk menggagalkan analisis (HP)

Mekanisme persistensi saat ini bergantung pada pembuatan tugas terjadwal dan kunci registri baru, tetapi karena kesalahan dalam penerapannya, malware tidak akan diluncurkan setelah reboot.

Tugas terjadwal yang dibuat oleh SVCready (HP)

Fase pengumpulan informasi kedua dimulai setelah semua itu, dan itu melibatkan tangkapan layar, mengekstraksi “osinfo”, dan mengirimkan semuanya ke C2.

Mekanisme pengambilan tangkapan layar (HP) malware

SVCReady terhubung ke C2 setiap lima menit untuk melaporkan statusnya, menerima tugas baru, mengirim informasi yang dicuri, atau memvalidasi domain.

Fungsi-fungsi yang didukung oleh SVCReady saat ini adalah sebagai berikut:

  • Unduh file ke klien yang terinfeksi
  • Ambil tangkapan layar
  • Jalankan perintah shell

Selengkapnya

Laporan HP melihat tautan ke kampanye TA551 (Shatak) sebelumnya seperti gambar memikat yang digunakan dalam dokumen berbahaya, URL sumber daya yang digunakan untuk mengambil muatan, dll. Sebelumnya, geng phishing menggunakan domain ini untuk menampung muatan Ursnif dan IcedID.

TA551 telah ditautkan ke berbagai operator malware dan bahkan afiliasi ransomware, sehingga hubungan dengan SVCReady saat ini tidak jelas dan dapat berupa kemitraan distribusi.

Sumber: Bleeping Computer

Malware Qbot sekarang menggunakan Windows MSDT zero-day dalam serangan phishing

by

Kerentanan kritis Windows zero-day, yang dikenal sebagai Follina dan masih menunggu perbaikan resmi dari Microsoft, sekarang sedang dieksploitasi secara aktif dalam serangan phishing yang sedang berlangsung untuk menginfeksi penerima dengan malware Qbot.

Proofpoint pertama kali melaporkan Senin bahwa zero-day yang sama digunakan dalam phishing yang menargetkan lembaga pemerintah AS dan UE.

Pekan lalu, perusahaan keamanan perusahaan juga mengungkapkan bahwa kelompok peretas TA413 China mengeksploitasi bug tersebut dalam serangan yang menargetkan diaspora Tibet.

Seperti yang dibagikan peneliti keamanan Proofpoint hari ini, afiliasi Qbot TA570 sekarang telah mulai menggunakan dokumen Microsoft Office .docx yang berbahaya untuk menyalahgunakan kelemahan keamanan Follina CVE-2022-30190 dan menginfeksi penerima dengan Qbot.

Penyerang menggunakan pesan utas email yang dibajak dengan lampiran HTML yang akan mengunduh arsip ZIP yang berisi file IMG. Di dalam IMG, target akan menemukan file DLL, Word, dan shortcut.

Sementara file pintasan secara langsung memuat file Qbot DLL yang sudah ada di gambar disk IMG, dokumen .docx kosong akan menjangkau server eksternal untuk memuat file HTML yang mengeksploitasi kelemahan Follina untuk menjalankan kode PowerShell yang mengunduh dan menjalankan kode berbeda Qbot DLL muatan.

Muatan phishing Qbot (BleepingComputer)

Kumpulan indikator kompromi yang terkait dengan kampanye ini oleh analis malware ExecuteMalware dapat ditemukan di sini.

Taktik yang digunakan dalam kampanye phishing ini cocok dengan laporan sebelumnya yang menjelaskan bagaimana TA570 sebelumnya menggunakan pembajakan utas email untuk mendorong lampiran berbahaya.

Keputusan TA570 untuk menggunakan dua metode berbeda untuk menginfeksi calon korban mengisyaratkan pelaku ancaman kejahatan dunia maya yang kemungkinan menjalankan kampanye pengujian A/B untuk menilai taktik mana yang akan memberi mereka hasil terbaik untuk “upaya” mereka.

Ini adalah salah satu dari beberapa kali afiliasi Qbot mencoba mengubah metode serangan mereka tahun ini, pertama kali beralih ke trik lama yang dikenal sebagai Squiblydoo pada bulan Februari untuk menyebarkan malware melalui dokumen Microsoft Office menggunakan regsvr32.exe.

Pada bulan April, setelah Microsoft mulai meluncurkan fitur pemblokiran otomatis makro VBA ke pengguna Office untuk Windows, pelaku ancaman berhenti menggunakan dokumen Microsoft Office dengan makro berbahaya dan beralih ke lampiran arsip ZIP yang dilindungi kata sandi dengan paket Penginstal Windows MSI yang berbahaya.

Qbot (alias Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan kemampuan worming untuk menginfeksi lebih banyak perangkat di jaringan yang disusupi melalui eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif terhadap akun admin Active Directory.

Laporan DFIR baru-baru ini menjelaskan serangan kecepatan ringan Qbot di mana malware mampu mencuri data pengguna yang sensitif (termasuk kredensial Windows dan email) dalam waktu sekitar 30 menit setelah infeksi awal.

Sumber: Bleeping Computer

Ransomware Black Basta versi Linux menargetkan server VMware ESXi

by

Black Basta adalah geng ransomware terbaru yang menambahkan dukungan untuk mengenkripsi mesin virtual (VM) VMware ESXi yang berjalan di server Linux perusahaan.

Sebagian besar grup ransomware sekarang memfokuskan serangan mereka pada VM ESXi karena taktik ini selaras dengan penargetan perusahaan mereka. Ini juga memungkinkan untuk memanfaatkan enkripsi yang lebih cepat dari beberapa server dengan satu perintah.

Mengenkripsi VM masuk akal karena banyak perusahaan baru-baru ini bermigrasi ke mesin virtual karena memungkinkan pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang jauh lebih efisien.

Dalam sebuah laporan baru, analis Uptycs Threat Research mengungkapkan bahwa mereka melihat binari ransomware Black Basta baru yang secara khusus menargetkan server VMWare ESXi.

Encryptor ransomware Linux bukanlah hal baru, dan BleepingComputer telah melaporkan encryptor serupa yang dirilis oleh beberapa geng lain, termasuk LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX, dan Hive.

Seperti encryptor Linux lainnya, biner ransomware Black Basta akan mencari /vmfs/volumes tempat mesin virtual disimpan di server ESXi yang disusupi (jika tidak ada folder seperti itu yang ditemukan, ransomware akan keluar).

Ransomware menggunakan algoritma ChaCha20 untuk mengenkripsi file. Ini juga memanfaatkan multithreading untuk menggunakan banyak prosesor dan mempercepat proses enkripsi.

Saat mengenkripsi, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi dan membuat catatan tebusan bernama readme.txt di setiap folder.

Catatan tersebut menyertakan tautan ke panel dukungan obrolan dan ID unik yang dapat digunakan korban untuk berkomunikasi dengan penyerang.

Catatan tebusan Black Basta Linux (BleepingComputer)

“Berdasarkan tautan dukungan obrolan dan ekstensi file terenkripsi, kami percaya bahwa aktor di balik kampanye ini adalah sama yang menargetkan sistem Windows sebelumnya dengan ransomware Black Basta.”

Ransomware Black Basta pertama kali terlihat di alam liar pada minggu kedua bulan April, saat operasi tersebut dengan cepat meningkatkan serangannya yang menargetkan perusahaan di seluruh dunia.

Meskipun tuntutan tebusan geng cenderung bervariasi antara korban, BleepingComputer tahu setidaknya satu yang menerima permintaan lebih dari $ 2 juta untuk decryptor dan untuk menghindari kebocoran data online.

Meskipun tidak banyak lagi yang diketahui tentang geng ransomware baru, ini mungkin bukan operasi baru melainkan perubahan citra karena kemampuan mereka yang ditunjukkan untuk dengan cepat menembus korban baru dan gaya negosiasi (mungkin perubahan citra operasi ransomware Conti).

CTO Emsisoft Fabian Wosar sebelumnya telah memberi tahu bahwa geng ransomware lain (selain yang kami laporkan), termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker, dan DarkSide, juga telah mengembangkan dan menggunakan enkripsi Linux mereka sendiri.

Sumber: Bleeping Computer

Pembaruan Android Juni 2022 membawa perbaikan untuk kerentanan RCE yang kritis

by

Google telah merilis pembaruan keamanan Juni 2022 untuk perangkat Android yang menjalankan OS versi 10, 11, dan 12, memperbaiki 41 kerentanan, lima dinilai kritis.

Pembaruan keamanan dipisahkan menjadi dua tingkat, dirilis pada 1 Juni dan 5 Juni. Yang pertama berisi tambalan untuk sistem Android dan komponen kerangka kerja dan yang kedua mencakup pembaruan untuk kernel dan komponen sumber tertutup vendor pihak ketiga.

Dari lima kerentanan kritis yang ditangani bulan ini, salah satu yang menonjol adalah CVE-2022-20210, kelemahan eksekusi kode jarak jauh yang dapat dimanfaatkan oleh pelaku ancaman tanpa prasyarat yang sangat menuntut.

Cacat eksekusi kode jarak jauh sangat parah karena dapat menyebabkan pengungkapan informasi, kompromi sistem tingkat tinggi, dan pengambilalihan perangkat secara menyeluruh.

Dua perbaikan penting lainnya yang mendarat dengan tingkat tambalan pertama menyangkut CVE-2022-20140 dan CVE-2022-20145, keduanya eskalasi tingkat keparahan kritis dari kelemahan hak istimewa.

Jenis kerentanan ini biasanya dimanfaatkan oleh malware yang telah menyelinap ke perangkat melalui jalur dengan hak istimewa rendah seperti menginstal aplikasi yang tampaknya tidak berbahaya untuk meningkatkan eksekusi atau otorisasi akses seperti yang diperlukan untuk maksud jahat.

Cacat kritis keempat yang diatasi melalui level patch “1 Juni 2022” adalah CVE-2022-20130, yang terletak pada komponen Media Codec.

Perbaikan cacat kritis kelima hanya menyangkut chip Unisoc, jadi itu hanya tersedia melalui level patch “5 Juni 2022”.

Dilacak sebagai CVE-2022-20210, kerentanan ini diungkapkan awal bulan ini oleh para peneliti di Check Point, yang menemukan bahwa mungkin untuk menetralkan komunikasi radio perangkat dengan menggunakan paket yang cacat.

Unisoc menyumbang sekitar 11% dari pasar Android, sebagian besar ditemukan di perangkat yang terjangkau atau kasar yang digunakan di militer, dll.

Menerapkan pembaruan yang tersedia segera setelah tersedia untuk perangkat Anda sangat penting, meskipun tidak ada kerentanan di atas yang saat ini ditandai sebagai dieksploitasi secara aktif.

Perlu dicatat bahwa bulan ini, Samsung mengalahkan Google satu hari, meluncurkan patch Juni yang berisi semua perbaikan yang disebutkan di atas sejak kemarin.

Jika perangkat Anda tidak lagi didukung oleh vendor dan telah berhenti menerima pembaruan keamanan, sebaiknya gunakan distribusi Android pihak ketiga yang menyertakan patch terbaru dan fitur keamanan untuk model lama.

Sumber: Bleeping Computer

QBot Sekarang Menggunakan Ransomware Black Basta Dalam Serangan Bertenaga Bot

by

Geng ransomware Black Basta telah bermitra dengan operasi malware QBot untuk mendapatkan akses awal ke lingkungan perusahaan.

QBot (QuakBot) adalah malware Windows yang mencuri kredensial bank, kredensial domain Windows, dan mengirimkan muatan malware lebih lanjut pada perangkat yang terinfeksi.

Korban biasanya terinfeksi Qbot melalui serangan phishing dengan lampiran berbahaya. Meskipun dimulai sebagai trojan perbankan, ia telah memiliki banyak kolaborasi dengan geng ransomware lain, termasuk MegaCortex, ProLock, DoppelPaymer, dan Egregor.

Black Basta adalah operasi ransomware yang relatif baru yang dimulai dengan mengesankan, melanggar banyak perusahaan dalam waktu yang relatif singkat sambil menuntut pembayaran uang tebusan yang besar.

Analis di NCC Group menemukan kemitraan baru antara Qakbot dan Black Basta selama incident response baru-baru ini di mana mereka dapat mengidentifikasi teknik yang digunakan oleh aktor ancaman.

Sementara geng ransomware biasanya menggunakan QBot untuk akses awal, NCC mengatakan bahwa geng Black Basta menggunakannya untuk menyebar secara lateral ke seluruh jaringan.

Malware dari jarak jauh akan membuat layanan sementara pada host target dan mengonfigurasinya untuk menjalankan DLL-nya menggunakan regsvr32.exe.

Setelah Qakbot aktif dan berjalan, ia dapat menginfeksi berbagi jaringan dan drive, memaksa akun AD, atau menggunakan protokol berbagi file SMB (Server Message Block) untuk membuat salinannya sendiri atau menyebar melalui default admin shares menggunakan kredensial pengguna saat ini.

NCC menyatakan bahwa pelaku ancaman juga menonaktifkan Windows Defender untuk menghindari deteksi dan meminimalkan kemungkinan membahayakan keberhasilan langkah enkripsi.

Selengkapnya: Bleeping Computer

Windows Zero-day Dieksploitasi Dalam Serangan Phishing Yang Menargetkan Pemerintah Lokal AS & Eropa

by

Pemerintah Eropa dan pemerintah lokal AS menjadi target kampanye phishing menggunakan dokumen Rich Text Format (RTF) berbahaya yang dirancang untuk mengeksploitasi kerentanan kritis Windows zero-day yang dikenal sebagai Follina.

BleepingComputer mengetahui pemerintah lokal di setidaknya dua negara bagian AS yang menjadi sasaran kampanye phishing ini.

Penyerang menggunakan janji kenaikan gaji untuk memancing karyawan membuka dokumen berbahaya, yang akan menjalankan skrip Powershell sebagai muatan terakhir.

Seperti yang ditemukan BleepingComputer saat memeriksa muatan PowerShell terakhir dari serangan ini, pelaku ancaman mengumpulkan sejumlah besar info yang mengungkapkan sifat dari serangan pengintaian karena data yang dikumpulkan dapat digunakan untuk akses awal:

  • Kata sandi browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc, dan AVAST Browser.
  • Data dari aplikasi lain: Mozilla Thunderbird, file session Netsarang, kontak Windows Live Mail, kata sandi Filezilla, file konfigurasi ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
  • Informasi Windows: Informasi komputer, daftar nama pengguna, informasi domain Windows

CVE-2022-30190 masih belum ditambal dan memengaruhi semua versi Windows yang masih menerima pembaruan keamanan (mis., Windows 7+ dan Server 2008+).

Hingga Microsoft merilis pembaruan keamanan resmi, Anda dapat menambal sistem Anda terhadap serangan yang sedang berlangsung ini menggunakan tambalan tidak resmi yang dirilis oleh layanan micropatch 0patch.

Selengkapnya: Bleeping Computer