Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

730K situs WordPress diperbarui secara paksa untuk menambal bug plugin penting

by

Situs WordPress yang menggunakan Ninja Forms, plugin pembuat formulir dengan lebih dari 1 juta instalasi, telah diperbarui secara massal minggu ini ke versi baru yang membahas kerentanan keamanan kritis yang kemungkinan dieksploitasi di alam liar.

Kerentanan adalah kerentanan injeksi kode yang memengaruhi beberapa rilis Ninja Forms, dimulai dengan versi 3.0 dan lebih tinggi.

Analis ancaman Wordfence Ramuel Gall menemukan ketika merekayasa balik patch bahwa penyerang yang tidak diautentikasi dapat mengeksploitasi bug ini dari jarak jauh untuk memanggil berbagai kelas bentuk Ninja menggunakan cacat dalam fitur Gabung Tag.

Eksploitasi yang berhasil memungkinkan mereka untuk sepenuhnya mengambil alih situs WordPress yang belum ditambal melalui beberapa rantai eksploitasi, salah satunya memungkinkan eksekusi kode jarak jauh melalui deserialisasi untuk sepenuhnya mengambil alih situs web yang ditargetkan.

Meskipun belum ada pengumuman resmi, sebagian besar situs web yang rentan tampaknya telah diperbarui secara paksa berdasarkan jumlah unduhan sejak kelemahan ini ditambal pada 14 Juni.

Menurut statistik unduhan Ninja Forms, pembaruan keamanan telah diluncurkan lebih dari 730.000 kali sejak patch dirilis.

Jika plugin belum diperbarui secara otomatis ke versi yang ditambal, Anda juga dapat menerapkan pembaruan keamanan secara manual dari dasbor (versi terbaru yang diamankan dari serangan adalah 3.6.11).

Analis Wordfence juga menemukan bukti yang menunjukkan bahwa kelemahan keamanan ini telah dieksploitasi dalam serangan yang sedang berlangsung.

Penginstalan pembaruan paksa Ninja Forms

Ini cocok dengan contoh sebelumnya ketika Automattic, perusahaan di balik sistem manajemen konten WordPress, menggunakan pembaruan paksa untuk dengan cepat menambal kelemahan keamanan kritis yang digunakan oleh ratusan ribu atau jutaan situs.

Samuel Wood, seorang pengembang WordPress, mengatakan pada Oktober 2020 bahwa Automattic telah menggunakan pembaruan keamanan paksa untuk mendorong “rilis keamanan untuk plugin berkali-kali” sejak WordPress 3.7 dirilis.

Seperti yang juga dikatakan peneliti keamanan Automattic Marc Montpas pada bulan Februari, patch paksa digunakan terlepas dari pengaturan admin mereka dalam “kasus yang sangat jarang dan sangat parah.”

Misalnya, pada tahun 2019, Jetpack menerima pembaruan keamanan penting yang mengatasi bug dalam cara plugin memproses kode sematan.

Pembaruan keamanan paksa lainnya mengatasi masalah yang ditemukan selama audit internal blok Formulir Kontak Jetpack pada Desember 2018, bug kritis dalam cara beberapa kode pendek Jetpack diproses kembali pada Mei 2016, dan masalah logika autentikasi pada Juni 2021.

Baru-baru ini, pada Februari 2022, 3 juta situs web yang menggunakan plugin WordPress UpdraftPlus ditambal paksa untuk menutup kerentanan yang memungkinkan pelanggan mengunduh cadangan basis data.

Sumber: Bleeping Computer

Microsoft: Pembaruan Windows Server Juni dapat menyebabkan masalah pencadangan

by

Microsoft mengatakan bahwa beberapa aplikasi mungkin gagal untuk mencadangkan data menggunakan Volume Shadow Copy Service (VSS) setelah menerapkan pembaruan Windows Patch Tuesday Juni 2022.

Masalah ini terjadi karena penegakan keamanan yang diperkenalkan untuk mengatasi peningkatan kerentanan hak istimewa (CVE-2022-30154) di Microsoft File Server Shadow Copy Agent Service (RVSS).

“Setelah Anda menginstal pembaruan Windows 14 Juni 2022 atau yang lebih baru, operasi yang terkait dengan salinan bayangan (pembuatan atau penghapusan) pada Server Aplikasi yang menjalankan Aplikasi Server sadar VSS yang menyimpan data pada berbagi file SMB 3.0 jarak jauh atau yang lebih baru mungkin gagal untuk berbagi SMB dihosting di File Server,” Microsoft menjelaskan.

Pada sistem yang mengalami masalah yang diketahui ini, aplikasi pencadangan Windows mungkin menerima kesalahan E_ACCESSDENIED selama operasi pembuatan salinan bayangan dan “FileShareShadowCopyAgent Event 1013” akan dicatat di File Server.

Karena RVSS adalah komponen opsional, sistem yang menjalankan Windows Server tidak rentan secara default. Selain itu, edisi Klien Windows tidak rentan terhadap serangan menggunakan eksploitasi CVE-2022-30154 dalam upaya eskalasi hak istimewa.

Daftar lengkap versi Windows yang terpengaruh dan pembaruan Windows yang menyebabkan masalah ini meliputi:

  • Windows Server 2022 (KB5014678)
  • Windows 10, versi 20H2 (KB5014699)
  • Windows Server 2019 (KB5014692)
  • Windows Server 2016 (KB5014702)
  • Windows Server 2012 R2 (KB5014746)
  • Windows Server 2012 (KB5014747)

Untuk mengatasi masalah ini, instal pemutakhiran Windows yang dirilis pada 14 Juni dan yang lebih baru di Server Aplikasi dan Server Berkas.

“Server aplikasi menjalankan aplikasi sadar Volume Shadow Copy Service (VSS) yang menyimpan data di server jarak jauh Server Message Block 3.0 (atau lebih tinggi) yang dibagikan di server file,” tambah Microsoft.

“Server file menghosting file yang dibagikan. Jika Anda tidak menginstal pembaruan pada kedua peran mesin, operasi pencadangan yang dilakukan oleh aplikasi, yang sebelumnya berfungsi, mungkin gagal.”

Masalah yang diketahui ini juga diketahui terjadi jika akun yang digunakan untuk melakukan operasi penyalinan bayangan adalah akun lokal dengan hak Administrator atau Operator Cadangan di File Server—dalam hal ini, Microsoft merekomendasikan untuk beralih ke akun domain.

Microsft juga mengatakan bahwa pencadangan mungkin gagal jika akun yang digunakan untuk melakukan operasi penyalinan tidak sesuai dengan persyaratan hak istimewa untuk Administrator atau Operator Cadangan. Untuk memperbaiki masalah ini, Anda harus beralih ke bagian akun domain dari grup Administrator Lokal atau Operator Cadangan di Server File.

Sumber: Bleeping Computer

Botnet peer-to-peer baru menginfeksi server Linux dengan cryptominers

by

Botnet peer-to-peer baru bernama Panchan muncul di alam liar sekitar Maret 2022, menargetkan server Linux di sektor pendidikan untuk menambang cryptocurrency.

Panchan diberdayakan dengan fungsi cacing SSH seperti serangan kamus dan penyalahgunaan kunci SSH untuk melakukan gerakan lateral yang cepat ke mesin yang tersedia di jaringan yang disusupi.

Pada saat yang sama, ia memiliki kemampuan penghindaran deteksi yang kuat, seperti menggunakan penambang yang dipetakan dengan memori dan secara dinamis mendeteksi pemantauan proses untuk segera menghentikan modul penambangan.

Menurut Akamai, aktor ancaman di balik proyek baru ini kemungkinan besar adalah orang Jepang. Panchan ditulis dalam Golang, bahasa pemrograman serbaguna yang memudahkan untuk menargetkan arsitektur sistem yang berbeda.

Itu menginfeksi host baru dengan mencari dan menggunakan kunci SSH yang ada atau nama pengguna dan kata sandi yang memaksa. Setelah sukses pada tahap ini, ia membuat folder tersembunyi untuk menyembunyikan dirinya di dalam dengan nama “xinetd.”

Terakhir, malware mengeksekusi biner dan memulai operasi HTTPS POST ke webhook Discord, yang kemungkinan digunakan untuk memantau korban.

Untuk membangun kegigihan, malware menyalin dirinya sendiri ke “/bin/systemd-worker” dan membuat layanan systemd baru untuk diluncurkan setelah reboot sambil menyamar sebagai layanan sistem yang sah.

Komunikasi antara botnet dan C2 tidak dienkripsi dan menggunakan port TCP 1919. Konfigurasi yang dikirim ke malware menyangkut konfigurasi penambang atau memperbarui daftar rekan.

Malware ini juga memiliki fitur “godmode”, panel admin yang dapat diakses menggunakan kunci pribadi yang hanya dimiliki oleh musuh.

Akamai memodifikasi program untuk menghapus ukuran keamanan ini dan menemukan bahwa panel admin menampilkan gambaran umum konfigurasi, status host, statistik rekan, dan pengaturan penambang, sementara itu juga memberikan opsi pembaruan kepada operator.

Salam panel admin dengan konfigurasi saat ini (Akamai)

Binari penambang, xmrig dan nbhash, tidak memiliki file, diterjemahkan dari bentuk base64 dan dieksekusi selama runtime di memori, sehingga tidak pernah menyentuh disk.

Panchan menggunakan NiceHash untuk kolam penambangan dan dompetnya, jadi analis Akamai tidak dapat melacak transaksi atau memperkirakan ukuran operasi penambangan, keuntungan, dll., karena mereka tidak berada di blockchain publik.

Malware ini juga dilengkapi sistem anti-pembunuhan yang mendeteksi sinyal penghentian proses dan mengabaikannya kecuali SIGKILL yang tidak ditangani.

Akamai merekayasa balik malware untuk memetakannya dan menemukan 209 sistem yang disusupi, 40 di antaranya saat ini aktif.

Peta panas rekan/korban Panchan (Akamai)

Sebagian besar korban berada di sektor pendidikan, mungkin karena cocok dengan metode penyebaran Panchan dan membuat pertumbuhannya lebih cepat.

Kebersihan kata sandi yang buruk dan pembagian kunci SSH yang berlebihan untuk mengakomodasi kolaborasi penelitian akademis internasional menciptakan kondisi ideal bagi botnet untuk berkembang biak.

Hipotesis ini selanjutnya didukung oleh temuan kelompok universitas yang terinfeksi di Spanyol, Taiwan, dan Hong Kong.

Dampaknya berkaitan dengan pembajakan sumber daya, yang di lembaga pendidikan dapat menghambat pekerjaan penelitian atau mengganggu penyediaan berbagai layanan publik.

Untuk mencegah jenis serangan ini, Akamai menyarankan agar target potensial menggunakan kata sandi yang rumit, menambahkan MFA di semua akun, membatasi akses SSH, dan terus memantau aktivitas sumber daya VM.

Sumber: Bleeping Computer

Interpol menyita $50 juta, menangkap 2000 insinyur sosial

by

Sebuah operasi penegakan hukum internasional, dengan nama sandi ‘First Light 2022,’ telah menyita 50 juta dolar dan menangkap ribuan orang yang terlibat dalam penipuan rekayasa sosial di seluruh dunia.

Operasi tersebut dipimpin oleh Interpol dengan bantuan polisi di 76 negara dan berfokus pada kejahatan rekayasa sosial yang melibatkan penipuan telepon, penipuan asmara, penipuan kompromi email bisnis (BEC), dan pencucian uang terkait.

Rekayasa sosial adalah istilah umum yang menggambarkan manipulasi korban oleh aktor ancaman, biasanya melalui interaksi manusia, untuk mengelabui mereka agar melakukan beberapa tindakan atau mengungkapkan informasi sensitif.

Pelaku rekayasa sosial biasanya mengajukan alasan untuk meminta pembayaran, tetapi mereka juga dapat menggunakan informasi yang dicuri untuk menjualnya kepada penjahat lain, mendapatkan akses ke jaringan/sistem, melakukan pemerasan, dan banyak lagi.

FTC mengatakan bahwa orang-orang di AS telah kehilangan $ 547 juta karena penipuan asmara pada tahun 2021 dan FBI melaporkan bahwa penipuan BEC telah menyebabkan kerugian yang dilaporkan hampir $ 2,4 miliar.

Kasus-kasus yang disoroti oleh Interpol termasuk seorang warga negara China yang telah menipu 24.000 korban dari $35.700.000 dan kasus penculikan palsu yang menuntut pembayaran $1.575.000 dari orang tua korban.

Poin lain yang disoroti Interpol adalah penipuan pekerjaan seperti Ponzi yang menyamar sebagai afiliasi e-commerce dan peluang bisnis e-shop yang tampaknya sedang meningkat.

Polisi Portugal menunjukkan barang sitaan sebagai bagian dari operasi ‘Fast Light’ (Interpol)

Satu lagi tren 2022 yang diidentifikasi oleh analis Interpol adalah peniruan identitas pejabat badan tersebut, mengancam orang-orang secara acak untuk membayar uang agen palsu untuk menghentikan penyelidikan terhadap mereka.

Meskipun ada kerugian finansial besar-besaran terkait dengan penipuan ini, ada juga konsekuensi yang mengancam jiwa dari kejahatan rekayasa sosial.

Interpol mengatakan ada peningkatan penting dalam perdagangan manusia di platform media sosial, di mana orang terpikat dengan tawaran pekerjaan yang menggiurkan yang mengarah pada kerja paksa, perbudakan seksual, atau penahanan di kasino atau kapal penangkap ikan.

Sumber: Bleeping Computer

Rootkit Syslogk Linux baru menggunakan paket ajaib untuk memicu Backdoor

by

Malware rootkit Linux baru bernama ‘Syslogk’ sedang digunakan dalam serangan untuk menyembunyikan proses berbahaya, menggunakan “paket ajaib” yang dibuat khusus untuk membangunkan pintu belakang yang tidak aktif di perangkat.

Malware tersebut saat ini sedang dalam pengembangan berat, dan pembuatnya tampaknya mendasarkan proyek mereka pada Adore-Ng, rootkit open-source lama.

Syslogk dapat memaksa memuat modulnya ke dalam kernel Linux (versi 3.x didukung), menyembunyikan direktori dan lalu lintas jaringan, dan akhirnya memuat pintu belakang yang disebut ‘Rekoobe.’

Rootkit Linux adalah malware yang diinstal sebagai modul kernel di sistem operasi. Setelah diinstal, mereka mencegat perintah Linux yang sah untuk menyaring informasi yang tidak ingin ditampilkan, seperti keberadaan file, folder, atau proses.

Demikian pula, ketika pertama kali dimuat sebagai modul kernel, Syslogk akan menghapus entrinya dari daftar modul yang diinstal untuk menghindari pemeriksaan manual. Satu-satunya tanda kehadirannya adalah antarmuka yang terbuka di sistem file /proc.

Antarmuka Syslogk yang terbuka (Avast)

Fungsi tambahan di rootkit memungkinkannya untuk menyembunyikan direktori yang berisi file berbahaya yang dijatuhkan di host, menyembunyikan proses, menyembunyikan lalu lintas jaringan, memeriksa semua paket TCP, dan memulai atau menghentikan muatan dari jarak jauh.

Salah satu muatan tersembunyi yang ditemukan oleh Avast adalah backdoor Linux bernama Rekoobe. Pintu belakang ini akan tertidur pada mesin yang disusupi sampai rootkit menerima “paket ajaib” dari pelaku ancaman.

Mirip dengan paket ajaib Wake on LAN, yang digunakan untuk membangunkan perangkat yang berada dalam mode tidur, Syslogk akan mendengarkan paket TCP yang dibuat khusus yang menyertakan nilai bidang “Reserved” khusus, penomoran “Port Sumber”, “Port Tujuan” dan “Alamat Sumber” cocok, dan kunci hardcoded.

Ketika paket ajaib yang tepat terdeteksi, Syslogks akan memulai atau menghentikan pintu belakang seperti yang diinstruksikan oleh aktor ancaman jarak jauh, secara drastis meminimalkan kemungkinan pendeteksiannya.

Pertimbangkan betapa tersembunyinya ini; pintu belakang yang tidak dimuat sampai beberapa paket ajaib dikirim ke mesin. Saat ditanya, tampaknya itu adalah layanan sah yang tersembunyi di memori, tersembunyi di disk, dijalankan secara ‘ajaib’ dari jarak jauh, tersembunyi di jaringan. Bahkan jika ditemukan selama pemindaian port jaringan, tampaknya masih merupakan server SMTP yang sah.” – Avast.

Rekoobe dimuat ke ruang mode pengguna di mana deteksi tidak serumit atau tidak mungkin seperti untuk Syslogk pada mode kernel, jadi lebih berhati-hati dengan pemuatannya sangat penting untuk keberhasilannya.

Rekoobe didasarkan pada TinySHell, perangkat lunak open-source lain dan tersedia secara luas, dan tujuannya adalah untuk memberikan penyerang cangkang jarak jauh pada mesin yang disusupi.

Memunculkan shell root pada host (Avast)

Ini berarti bahwa Rekoobe digunakan untuk menjalankan perintah, sehingga dampaknya mencapai tingkat tertinggi, termasuk pengungkapan informasi, eksfiltrasi data, tindakan file, pengambilalihan akun, dan banyak lagi.

Rootkit Syslogk adalah contoh lain dari malware yang sangat mengelak untuk sistem Linux yang ditambahkan di atas Symbiote dan BPFDoor yang baru ditemukan, yang keduanya menggunakan sistem BPF untuk memantau lalu lintas jaringan dan memanipulasinya secara dinamis.

Sistem Linux tidak lazim di kalangan pengguna biasa, tetapi mereka mendukung beberapa jaringan perusahaan paling berharga di luar sana, sehingga pelaku ancaman meluangkan waktu dan upaya untuk mengembangkan malware khusus untuk arsitektur.

Perkembangan yang paling berbahaya adalah Syslogk merilis versi yang mendukung versi kernel Linux yang lebih baru, yang akan sangat memperluas cakupan penargetan sekaligus.

Sumber: Bleeping Computer

Microsoft: Server Exchange diretas untuk menyebarkan ransomware BlackCat

by

Microsoft mengatakan afiliasi ransomware BlackCat sekarang menyerang server Microsoft Exchange menggunakan eksploitasi yang menargetkan kerentanan yang belum ditambal.

Setidaknya dalam satu insiden yang diamati oleh pakar keamanan Microsoft, penyerang perlahan-lahan bergerak melalui jaringan korban, mencuri kredensial, dan mengekstrak informasi yang akan digunakan untuk pemerasan ganda.

Dua minggu setelah kompromi awal menggunakan server Exchange yang belum ditambal sebagai vektor entri, pelaku ancaman menyebarkan muatan ransomware BlackCat di seluruh jaringan melalui PsExec.

Meskipun tidak menyebutkan kerentanan Exchange yang digunakan untuk akses awal, Microsoft menautkan ke penasihat keamanan mulai Maret 2021 dengan panduan untuk menyelidiki dan mengurangi serangan ProxyLogon.

Selain itu, meskipun Microsoft tidak menyebutkan nama afiliasi ransomware yang menyebarkan ransomware BlackCat dalam studi kasus ini, perusahaan tersebut mengatakan beberapa kelompok kejahatan dunia maya sekarang berafiliasi dengan operasi Ransomware sebagai Layanan (RaaS) ini dan secara aktif menggunakannya dalam serangan.

Masuk melalui server Exchange yang rentan (Microsoft)

Salah satunya, kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN12, dikenal karena sebelumnya menggunakan ransomware Ryuk, Conti, dan Hive dalam serangan yang terutama menargetkan organisasi perawatan kesehatan.

Namun, seperti yang diungkapkan Mandiant, operator FIN12 jauh lebih cepat karena terkadang mereka melewatkan langkah pencurian data dan membutuhkan waktu kurang dari dua hari untuk melepaskan muatan enkripsi file mereka di seluruh jaringan target.

Ransomware BlackCat juga disebarkan oleh grup afiliasi yang dilacak sebagai DEV-0504 yang biasanya mengekstrak data yang dicuri menggunakan Stealbit, alat berbahaya yang disediakan geng LockBit kepada afiliasinya sebagai bagian dari program RaaS-nya.

DEV-0504 juga telah menggunakan jenis ransomware lain mulai Desember 2021, termasuk BlackMatter, Conti, LockBit 2.0, Revil, dan Ryuk.

Untuk mempertahankan diri dari serangan ransomware BlackCat, Microsoft menyarankan organisasi untuk meninjau postur identitas mereka, memantau akses eksternal ke jaringan mereka, dan memperbarui semua server Exchange yang rentan di lingkungan mereka sesegera mungkin.

Pada bulan April, FBI memperingatkan dalam peringatan kilat bahwa ransomware BlackCat telah digunakan untuk mengenkripsi jaringan setidaknya 60 organisasi di seluruh dunia antara November 2021 dan Maret 2022.

Namun, jumlah sebenarnya dari korban BlackCat kemungkinan besar jauh lebih tinggi mengingat lebih dari 480 sampel telah dikirimkan pada platform ID-Ransomware antara November 2021 dan Juni 2022.

Aktivitas BlackCat (ID-Ransomware)

Dalam peringatan April, FBI juga meminta admin dan tim keamanan yang mendeteksi aktivitas BlackCat dalam jaringan mereka untuk berbagi info insiden terkait dengan Pasukan Siber FBI lokal mereka.

Informasi berguna yang akan membantu melacak dan mengidentifikasi pelaku ancaman yang menggunakan ransomware ini dalam serangan mereka termasuk “Log IP yang menunjukkan panggilan balik dari alamat IP asing, alamat Bitcoin atau Monero dan ID transaksi, komunikasi dengan pelaku ancaman, file dekripsi, dan/atau sampel jinak dari file terenkripsi.”

Sumber: Bleeping Computer

Peretas Gallium keuangan backdoor, org pemerintah menggunakan malware PingPull baru

by

Kelompok peretasan yang disponsori negara Gallium telah terlihat menggunakan trojan akses jarak jauh ‘PingPull’ baru terhadap lembaga keuangan dan entitas pemerintah di Eropa, Asia Tenggara, dan Afrika.

Entitas ini berbasis di Australia, Rusia, Filipina, Belgia, Vietnam, Malaysia, Kamboja, dan Afghanistan.

Gallium diyakini berasal dari China, dan cakupan penargetannya di sektor telekomunikasi, keuangan, dan pemerintah dalam operasi spionase sejalan dengan kepentingan negara.

Dalam kampanye baru-baru ini, Gallium menggunakan RAT (trojan akses jarak jauh) baru bernama PingPull, yang menurut para analis di Unit42 (Palo Alto Networks) sangat tersembunyi.

Malware PingPull dirancang untuk memberi pelaku ancaman shell terbalik pada mesin yang disusupi, memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh.

Unit42 dapat mengambil sampel tiga varian berbeda dengan fungsionalitas serupa yang menggunakan protokol komunikasi C2 yang berbeda, yaitu ICMP, HTTPS, dan TCP.

Protokol C2 yang berbeda mungkin untuk menghindari metode/alat deteksi jaringan tertentu, dengan aktor yang menyebarkan varian yang sesuai berdasarkan pengintaian awal.

Dalam ketiga kasus tersebut, malware menginstal dirinya sendiri sebagai layanan dan memiliki deskripsi yang mensimulasikan layanan yang sah, yang bertujuan untuk mencegah pengguna menghentikannya.

Perintah dan parameternya dikirim dari C2 dalam bentuk terenkripsi AES, yang dapat didekripsi oleh suar berkat sepasang kunci yang di-hardcode.

Infrastruktur yang dapat ditemukan dan ditautkan oleh Unit 42 ke operasi Gallium mencakup lebih dari 170 alamat IP, beberapa di antaranya berasal dari akhir tahun 2020.

Microsoft telah memperingatkan tentang grup tersebut pada tahun 2019, menyoroti cakupan penargetan yang terbatas pada penyedia layanan telekomunikasi pada saat itu.

Cuplikan kampanye Gallium baru-baru ini mengungkapkan RAT baru, yang menunjukkan bahwa kelompok peretasan masih merupakan ancaman yang aktif dan berkembang.

Berdasarkan laporan terbaru, Gallium telah memperluas cakupan tersebut untuk memasukkan entitas kunci pemerintah dan lembaga keuangan di Asia, Afrika, Eropa, dan Australia.

Untuk alasan ini, semua organisasi vital disarankan untuk menggunakan indikator kompromi yang disediakan dalam laporan Unit 42 untuk deteksi ancaman yang tepat waktu.

Sumber: Bleeping Computer

Hello XD ransomware sekarang menjatuhkan Backdoor saat mengenkripsi

by

Peneliti keamanan siber melaporkan peningkatan aktivitas ransomware Hello XD, yang operatornya sekarang menerapkan sampel yang ditingkatkan dengan enkripsi yang lebih kuat.

Pertama kali diamati pada November 2021, keluarga tertentu didasarkan pada kode sumber yang bocor dari Babuk dan terlibat dalam sejumlah kecil serangan pemerasan ganda di mana pelaku ancaman mencuri data perusahaan sebelum mengenkripsi perangkat.

Menurut sebuah laporan baru oleh Palo Alto Networks Unit 42, pembuat malware telah menciptakan sebuah encryptor baru yang menampilkan custom packing untuk menghindari deteksi dan perubahan algoritma enkripsi.

Ini menandai keberangkatan yang signifikan dari kode Babuk dan menyoroti niat penulis untuk mengembangkan jenis ransomware baru dengan kemampuan dan fitur unik untuk meningkatkan serangan.

Operasi ransomware Hello XD saat ini tidak menggunakan situs pembayaran Tor untuk memeras korban, melainkan menginstruksikan korban untuk memasuki negosiasi secara langsung melalui layanan obrolan TOX.

Dalam versi terbaru, operator malware telah menambahkan tautan situs bawang pada catatan tebusan yang dijatuhkan, tetapi Unit 42 mengatakan situs itu offline, jadi mungkin sedang dalam pembangunan.

Halo catatan tebusan XD, kiri lama, kanan baru (Unit 42)

Saat dijalankan, Hello XD mencoba menonaktifkan salinan bayangan untuk mencegah pemulihan sistem yang mudah dan kemudian mengenkripsi file, menambahkan ekstensi .hello ke nama file.

Selain muatan ransomware, Unit 42 juga mengamati operator Hello XD sekarang menggunakan pintu belakang sumber terbuka bernama MicroBackdoor untuk menavigasi sistem yang disusupi, mengekstrak file, menjalankan perintah, dan menghapus jejak.

Eksekusi MicroBackdoor ini dienkripsi menggunakan WinCrypt API dan disematkan di dalam muatan ransomware, sehingga langsung dijatuhkan ke sistem setelah terinfeksi.

Mendekripsi dan menjatuhkan Microbackdoor (Unit 42)

Pengemas kustom yang digunakan dalam versi kedua payload ransomware menampilkan dua lapisan kebingungan.

Penulis telah menurunkan crypter dengan memodifikasi UPX, sebuah paket open-source yang telah disalahgunakan oleh banyak pembuat malware di masa lalu.

Pengepakan UPX (kanan) dan pengemasan khusus (kiri) (Unit 42)

Dekripsi gumpalan yang disematkan melibatkan penggunaan algoritme khusus yang berisi instruksi tidak konvensional seperti XLAT, sementara panggilan API dalam pengepakan anehnya tidak dikaburkan.

Aspek paling menarik dari versi utama kedua Hello XD adalah mengganti algoritma enkripsi dari HC-128 dan Curve25519-Donna yang dimodifikasi ke Rabbit Cipher dan Curve25519-Donna.

Enkripsi babuk (kiri) dan enkripsi Hello XD 2.0 (kanan) (Unit 42)

Selain itu, penanda file di versi kedua diubah dari string yang koheren menjadi byte acak, membuat hasil kriptografi lebih kuat.

Saat ini, Hello XD adalah proyek ransomware tahap awal berbahaya yang saat ini digunakan di alam liar. Meskipun volume infeksinya belum signifikan, perkembangannya yang aktif dan terarah meletakkan dasar untuk status yang lebih berbahaya.

Unit 42 melacak asal-usulnya ke aktor ancaman berbahasa Rusia menggunakan alias X4KME, yang mengunggah tutorial tentang penggelaran Cobalt Strike Beacons dan infrastruktur berbahaya secara online.

Selain itu, peretas yang sama telah memposting di forum untuk menawarkan eksploitasi proof-of-concept (PoC), layanan crypter, distribusi Kali Linux khusus, dan layanan hosting dan distribusi malware.

Sumber: Bleeping Computer