Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Microsoft membagikan mitigasi untuk serangan Windows KrbRelayUp LPE

by

Microsoft telah berbagi panduan untuk membantu admin mempertahankan lingkungan perusahaan Windows mereka dari serangan KrbRelayUp yang memungkinkan penyerang mendapatkan hak istimewa SISTEM pada sistem Windows dengan konfigurasi default.

Penyerang dapat meluncurkan serangan ini menggunakan alat KrbRelayUp yang dikembangkan oleh peneliti keamanan Mor Davidovich sebagai pembungkus sumber terbuka untuk alat eskalasi hak istimewa Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker, dan ADCSPwn.

Sejak akhir April 2022, saat alat ini pertama kali dibagikan di GitHub, pelaku ancaman dapat meningkatkan izin mereka ke SISTEM di lingkungan domain Windows dengan pengaturan default (di mana penandatanganan LDAP tidak diterapkan).

Davidovich merilis versi terbaru dari KrbRelayUp pada hari Senin yang juga berfungsi saat penandatanganan LDAP diberlakukan dan akan memberikan hak istimewa SISTEM kepada penyerang jika Perlindungan Diperpanjang untuk Otentikasi (EPA) untuk Layanan Sertifikat Direktori Aktif (AD CS) tidak diaktifkan.

Microsoft mengatakan bahwa alat eskalasi hak istimewa ini tidak bekerja melawan organisasi dengan lingkungan Azure Active Directory berbasis cloud.

Namun, KrbRelayUp dapat membantu kompromi mesin virtual Azure di lingkungan AD hibrid di mana pengontrol domain disinkronkan dengan Azure AD.

“Meskipun serangan ini tidak akan berfungsi untuk perangkat yang bergabung dengan Azure Active Directory (Azure AD), perangkat gabungan hybrid dengan pengontrol domain lokal tetap rentan,” kata Zeev Rabinovich dan Ofir Shlomo dari Microsoft 365 Defender Research Team.

Microsoft kini telah membagikan panduan kepada publik tentang pemblokiran upaya semacam itu dan mempertahankan jaringan perusahaan dari serangan yang menggunakan pembungkus KrbRelayUp.

Namun, langkah-langkah mitigasi ini juga telah tersedia sebelumnya untuk pelanggan perusahaan dengan langganan Microsoft 365 E5.

Sesuai rekomendasi Redmond, admin harus mengamankan komunikasi antara klien LDAP dan pengontrol domain Active Directory (AD) dengan memberlakukan penandatanganan server LDAP dan mengaktifkan Extended Protection for Authentication (EPA).

Seperti yang dikatakan Microsoft, organisasi disarankan untuk menerapkan mitigasi berikut untuk “mengurangi dampak ancaman ini:”

Microsoft telah memberikan panduan untuk mengaktifkan pengikatan saluran LDAP dan penandatanganan LDAP. Microsoft menyarankan agar administrator mengonfigurasi penandatanganan LDAP dan pengikatan saluran LDAP seperti yang direkomendasikan dalam nasihat tersebut dan dijelaskan secara mendetail dalam pengikatan saluran LDAP 2020 dan persyaratan penandatanganan LDAP untuk Windows (KB4520412).

Organisasi juga harus mempertimbangkan untuk menyetel atribut ms-DS-MachineAccountQuota ke 0 untuk mempersulit penyerang memanfaatkan atribut untuk serangan. Menyetel atribut ke 0 akan menghentikan pengguna non-admin menambahkan perangkat baru ke domain, memblokir metode paling efektif untuk melakukan langkah pertama serangan, dan memaksa penyerang memilih metode yang lebih kompleks untuk memperoleh sumber daya yang sesuai.

Sumber: Bleeping Computer

Zyxel memperingatkan kelemahan yang memengaruhi firewall, AP, dan pengontrol

by

Zyxel telah menerbitkan penasihat keamanan untuk memperingatkan admin tentang beberapa kerentanan yang memengaruhi berbagai produk firewall, AP, dan pengontrol AP.

Meskipun kerentanan tidak dinilai kritis, kerentanan itu sendiri masih signifikan dan dapat disalahgunakan oleh aktor ancaman sebagai bagian dari rantai eksploitasi.

Organisasi besar menggunakan produk Zyxel, dan setiap kelemahan yang dapat dieksploitasi di dalamnya segera menarik perhatian pelaku ancaman.

Empat kelemahan yang diungkapkan dalam penasehat Zyxel adalah sebagai berikut:

  • CVE-2022-0734: Kerentanan skrip lintas situs dengan tingkat keparahan sedang (CVSS v3.1 – 5.8) dalam komponen CGI, memungkinkan penyerang menggunakan skrip pencurian data untuk mengambil cookie dan token sesi yang disimpan di browser pengguna.
  • CVE-2022-26531: Tingkat keparahan sedang (CVSS v3.1 – 6.1) cacat validasi yang tidak tepat di beberapa perintah CLI, memungkinkan penyerang terotentikasi lokal menyebabkan buffer overflow atau sistem crash.
  • CVE-2022-26532: Cacat injeksi perintah tingkat keparahan tinggi (CVSS v3.1 – 7.8) di beberapa perintah CLI, memungkinkan penyerang terotentikasi lokal untuk mengeksekusi perintah OS yang sewenang-wenang.
  • CVE-2022-0910: Tingkat keparahan sedang (CVSS v3.1 – 6.5) otentikasi memotong kerentanan dalam komponen CGI, memungkinkan penyerang untuk menurunkan versi dari otentikasi dua faktor ke otentikasi satu faktor melalui klien VPN IPsec.

    • Kerentanan di atas berdampak pada USG/ZyWALL, USG FLEX, ATP, VPN, firewall NSG, pengontrol AP NXC2500 dan NXC5500, dan berbagai produk Titik Akses, termasuk model seri NAP, NWA, WAC, dan WAX.

    Produk firewall yang terkena dampak (Zyxel)

    Zyxel telah merilis pembaruan keamanan yang mengatasi masalah untuk sebagian besar model yang terpengaruh.

    Namun, admin harus meminta perbaikan terbaru dari perwakilan layanan lokal mereka untuk pengontrol AP karena perbaikan tidak tersedia untuk umum.

    Untuk firewall, USG/ZyWALL mengatasi masalah dengan firmware versi 4.72, USG FLEX, ATP, dan VPN harus ditingkatkan ke ZLD versi 5.30, dan produk NSG menerima perbaikan melalui v1.33 patch 5.

    Meskipun kerentanan ini tidak kritis, tetap sangat disarankan agar admin jaringan memutakhirkan perangkat mereka sesegera mungkin.

    Sumber: Bleeping Computer

Malware Android ERMAC 2.0 baru mencuri akun, dompet dari 467 aplikasi

by

Trojan perbankan Android ERMAC telah merilis versi 2.0, meningkatkan jumlah aplikasi yang ditargetkan dari 378 menjadi 467, mencakup lebih banyak aplikasi untuk mencuri kredensial akun dan dompet kripto.

Tujuan dari trojan adalah untuk mengirim kredensial login yang dicuri ke pelaku ancaman, yang kemudian menggunakannya untuk mengendalikan akun perbankan dan cryptocurrency orang lain dan melakukan penipuan keuangan atau bentuk lain.

ERMAC saat ini dijual kepada anggota situs darknet dengan tarif berlangganan $5.000 per bulan, yaitu $2k di atas label harga versi pertama, yang mencerminkan peningkatan fitur dan popularitasnya.

ERMAC dijual di forum peretas (ESET)

Kampanye malware pertama yang menggunakan malware ERMAC 2.0 baru adalah aplikasi Bolt Food palsu yang menargetkan pasar Polandia.

Menurut peneliti ESET, para pelaku ancaman mendistribusikan aplikasi Android melalui situs web “bolt-food[.]site”, meniru layanan pengiriman makanan Eropa yang sah. Situs palsu ini masih aktif pada saat penulisan ini.

Situs hosting malware (ESET)

Pengguna kemungkinan berakhir di situs palsu melalui email phishing, posting media sosial berbahaya, smishing, malvertising, dll. Jika mereka mengunduh aplikasi, mereka akan mendapatkan permintaan izin yang menuntut kontrol penuh atas perangkat mereka.

Izin diminta saat instalasi
(ESET)

Pemberian akses ke Layanan Aksesibilitas diperlukan untuk melayani overlay aplikasi, menipu korban untuk memasukkan kredensial mereka pada formulir yang terlihat sah tetapi hanya tiruan dari antarmuka aplikasi yang sebenarnya.

Cyble telah mengambil sampel malware untuk analisis teknis yang lebih dalam dan mengonfirmasi bahwa ia memberikan dirinya sendiri 43 izin saat penginstalan (melalui Aksesibilitas), termasuk akses SMS, akses kontak, pembuatan jendela peringatan sistem, perekaman audio, dan akses baca dan tulis penyimpanan penuh.

ERMAC pertama-tama menentukan aplikasi apa yang diinstal pada perangkat host dan kemudian mengirimkan informasi ke server C2.

Respons berisi modul injeksi yang cocok dengan daftar aplikasi dalam bentuk HTML terenkripsi, yang didekripsi oleh malware dan disimpan ke dalam file Preferensi Bersama sebagai “setting.xml.”

Tanggapan dari C2 yang berisi suntikan (Cyble)

Ketika korban mencoba untuk meluncurkan aplikasi yang sebenarnya, tindakan injeksi terjadi, dan halaman phishing dimuat di atas GUI yang sebenarnya. Kredensial yang dipanen dikirim ke C2 yang sama yang memberikan suntikan.

Injeksi yang terjadi pada perangkat (Cyble)

Analis Cyble telah menemukan banyak kesamaan dengan malware “Cerberus”, sehingga tampaknya versi kedua dari trojan kuat didasarkan pada malware tersebut.

Daftar ekstensif aplikasi yang didukung menjadikannya malware yang kuat, tetapi perlu dicatat bahwa itu akan tersandung pada masalah di Android versi 11 dan 12, berkat batasan tambahan yang ditambahkan Google untuk mencegah penyalahgunaan Layanan Aksesibilitas.

Untuk mencegah infeksi dari trojan Android, hindari mengunduh APK dari luar Play Store, terutama dari situs web yang belum Anda konfirmasikan sebagai sah.

Sumber: Bleeping Computer

Ransomware Linux ‘Cheers’ baru menargetkan server VMware ESXi

by

Ransomware baru bernama ‘Cheers’ telah muncul di ruang kejahatan dunia maya dan telah memulai operasinya dengan menargetkan server VMware ESXi yang rentan.

VMware ESXi adalah platform virtualisasi yang biasa digunakan oleh organisasi besar di seluruh dunia, jadi mengenkripsi mereka biasanya menyebabkan gangguan parah pada operasi bisnis.

Kami telah melihat banyak grup ransomware yang menargetkan platform VMware ESXi di masa lalu, dengan tambahan terbaru adalah LockBit dan Hive.

Penambahan ransomware Cheers ke klub ditemukan oleh analis di Trend Micro, yang menyebut varian baru ‘Cheerscrypt’.

Setelah server VMware ESXi disusupi, pelaku ancaman meluncurkan encryptor, yang secara otomatis akan menghitung mesin virtual yang sedang berjalan dan mematikannya menggunakan perintah esxcli berikut.

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

Saat mengenkripsi file, ia secara khusus mencari file dengan ekstensi .log, .vmdk, .vmem, .vswp, dan .vmsn berikut. Ekstensi file ini terkait dengan snapshot ESXi, file log, file swap, file paging, dan disk virtual.

Setiap file terenkripsi akan memiliki ekstensi “.Cheers” yang ditambahkan ke nama filenya. Anehnya, penggantian nama file terjadi sebelum enkripsi, jadi jika izin akses untuk mengubah nama file ditolak, enkripsi akan gagal, tetapi file akan tetap diganti namanya.

Skema enkripsi menggunakan sepasang kunci publik dan pribadi untuk mendapatkan kunci rahasia (SOSEMANUK stream cipher) dan menyematkannya di setiap file terenkripsi. Kunci pribadi yang digunakan untuk membuat kunci rahasia dihapus untuk mencegah pemulihan.​

Rutinitas enkripsi Cheers (Trend Micro)

Saat memindai folder untuk file yang akan dienkripsi, ransomware akan membuat catatan tebusan bernama ‘Cara Mengembalikan File Anda.txt’ di setiap folder.

Catatan tebusan ini mencakup informasi tentang apa yang terjadi pada file korban dan tautan ke situs kebocoran data Tor operasi ransomware dan situs negosiasi tebusan.

Setiap korban memiliki situs Tor unik untuk negosiasi mereka, tetapi URL situs kebocoran data Onion bersifat statis.

Cheers uang tebusan untuk para korban
Sumber: BleepingComputer

Berdasarkan penelitian BleepingComputer ke dalam operasi baru, tampaknya telah diluncurkan pada Maret 2022.

BleepingComputer menemukan kebocoran data dan pemerasan korban situs Onion untuk operasi ransomware Cheers, yang saat ini hanya mencantumkan empat korban.

Namun, keberadaan portal ini menunjukkan bahwa Cheers melakukan eksfiltrasi data selama serangan dan menggunakan data yang dicuri dalam serangan pemerasan ganda.

Kebocoran data Cheer situs Bawang
Sumber: BleepingComputer

Berdasarkan catatan tebusan yang kami periksa, pelaku ancaman memberi korbannya tiga hari untuk mengakses situs Tor yang disediakan untuk menegosiasikan pembayaran tebusan sebagai ganti kunci dekripsi yang berfungsi.

Jika korban tidak membayar uang tebusan, pelaku ancaman mengatakan mereka akan menjual data yang dicuri ke penjahat lain.

Jika tidak ada yang tertarik untuk membeli data, data tersebut akan dipublikasikan di portal kebocoran dan diekspos ke klien, kontraktor, otoritas perlindungan data, pesaing, dan pelaku ancaman lainnya.

Sumber: Bleeping Computer

Lonjakan malware ChromeLoader baru mengancam browser di seluruh dunia

by

Malware ChromeLoader mengalami peningkatan deteksi bulan ini, mengikuti volume yang relatif stabil sejak awal tahun, menyebabkan pembajakan browser menjadi ancaman yang meluas.

ChromeLoader adalah pembajak peramban yang dapat mengubah setelan peramban web korban untuk menampilkan hasil penelusuran yang mempromosikan perangkat lunak yang tidak diinginkan, hadiah dan survei palsu, serta permainan dewasa dan situs kencan.

Ada banyak pembajak semacam ini, tetapi ChromeLoader menonjol karena kegigihan, volume, dan rute infeksinya, yang melibatkan penggunaan PowerShell secara agresif.

Menurut peneliti Red Canary, yang telah mengikuti aktivitas ChromeLoader sejak Februari tahun ini, operator pembajak menggunakan file arsip ISO berbahaya untuk menginfeksi korbannya.

ISO menyamar sebagai executable crack untuk game atau perangkat lunak komersial, sehingga korban kemungkinan mengunduhnya sendiri dari torrent atau situs berbahaya.

Para peneliti juga memperhatikan posting Twitter yang mempromosikan game Android yang retak dan menawarkan kode QR yang mengarah ke situs hosting malware.

Ketika seseorang mengklik dua kali pada file ISO di Windows 10 atau lebih baru, file ISO akan dipasang sebagai drive CD-ROM virtual. File ISO ini berisi executable yang berpura-pura menjadi game crack atau keygen, menggunakan nama seperti “CS_Installer.exe.”

Isi file ISO (Red Canary)

Terakhir, ChromeLoader mengeksekusi dan mendekode perintah PowerShell yang mengambil arsip dari sumber daya jarak jauh dan memuatnya sebagai ekstensi Google Chrome.

Setelah ini selesai, PowerShell akan menghapus tugas terjadwal yang membuat Chrome terinfeksi dengan ekstensi yang disuntikkan secara diam-diam yang membajak browser dan memanipulasi hasil mesin telusur.

PowerShell yang digunakan untuk melawan Chrome di Windows
(Kenari Merah)

Operator ChromeLoader juga menargetkan sistem macOS, yang ingin memanipulasi browser web Chrome dan Safari Apple.

Rantai infeksi pada macOS serupa, tetapi alih-alih ISO, pelaku ancaman menggunakan file DMG (Apple Disk Image), format yang lebih umum pada OS tersebut.

Selain itu, alih-alih penginstal yang dapat dieksekusi, varian macOS menggunakan skrip bash penginstal yang mengunduh dan mendekompresi ekstensi ChromeLoader ke direktori “private/var/tmp”.

Skrip bash digunakan di macOS (Red Canary)

“Untuk mempertahankan kegigihan, variasi macOS ChromeLoader akan menambahkan file preferensi (`plist`) ke direktori `/Library/LaunchAgents`,” jelas laporan Red Canary.

“Ini memastikan bahwa setiap kali pengguna masuk ke sesi grafis, skrip Bash ChromeLoader dapat terus berjalan.”

Untuk petunjuk tentang memeriksa ekstensi apa yang berjalan di browser web Anda dan cara mengelola, membatasi, atau menghapusnya, lihat panduan ini untuk Chrome atau yang ini untuk Safari.

Sumber: Bleeping Computer

Microsoft: Pencuri kartu kredit semakin tersembunyi

by

Peneliti keamanan Microsoft telah mengamati tren yang mengkhawatirkan dalam skimming kartu kredit, di mana pelaku ancaman menggunakan teknik yang lebih canggih untuk menyembunyikan kode pencuri informasi berbahaya mereka.

Geng skimming mengaburkan cuplikan kode mereka, menyuntikkannya ke dalam file gambar, dan menyamarkannya sebagai aplikasi web populer untuk menghindari deteksi.

Ini merusak keefektifan produk pendeteksi ancaman dan meningkatkan kemungkinan informasi kartu kredit pengguna internet dicuri oleh pelaku kejahatan.

Skimming kartu pembayaran adalah serangan berbasis web di mana peretas menyuntikkan kode JavaScript berbahaya ke situs web e-niaga dengan mengeksploitasi kerentanan pada platform yang mendasarinya (Magento, PrestaShop, WordPress, dll.) atau praktik keamanan yang buruk.

Kode diaktifkan ketika pengunjung situs mencapai halaman checkout dan mulai memasukkan rincian kartu kredit atau debit mereka untuk membayar pesanan yang ditempatkan.

Apa pun yang diketik pada formulir halaman itu dicuri oleh skimmer dan dikirim ke operator jahat yang kemudian menggunakan detail ini untuk melakukan pembelian online atau menjual data kepada orang lain.

Ikhtisar serangan skimming (Microsoft)

Analis Microsoft melaporkan melihat peningkatan dalam penggunaan tiga metode persembunyian: menyuntikkan skrip dalam gambar, penggabungan string, dan spoofing skrip.

Dalam kasus pertama, file gambar berbahaya diunggah ke server target yang menyamar sebagai favicon. Isinya, bagaimanapun, termasuk skrip PHP dengan JavaScript yang disandikan base64.

Script berjalan untuk mengidentifikasi halaman checkout, menjalankan pemeriksaan untuk mengecualikan pengguna admin, dan kemudian menyajikan formulir palsu kepada pengunjung situs yang sah.

Memvalidasi status pengguna admin (Microsoft)

Menggunakan kebingungan rangkaian string, penyerang memuat skimmer dari domain di bawah kendali mereka menggunakan implan di situs target.

Domain dikodekan base64 dan digabungkan dari beberapa string, sedangkan skimmer itu sendiri tidak perlu dikaburkan karena tidak di-host pada platform yang ditargetkan.

URL yang disandikan gabungan (Microsoft)

Yang ketiga, script spoofing, tren menyamarkan skimmer sebagai Google Analytics atau Meta Pixel (Facebook Pixel), dua alat pelacak pengunjung yang banyak digunakan hadir di hampir setiap situs.

Pelaku ancaman menyuntikkan string yang disandikan base64 ke dalam kode Google Pengelola Tag palsu, menipu admin agar melewatkan pemeriksaan, mengira itu adalah bagian dari kode standar situs web.

Skimmer dipalsukan sebagai kode Google Analytics (Microsoft)

Dalam kasus Meta Pixel, pelaku ancaman meniru beberapa parameter umum dari plugin yang sebenarnya sambil juga menjaga URL skimmer dikodekan di base64 dan dipecah menjadi beberapa string.

Memalsukan fungsi Meta Pixel (Microsoft)

Analisis Microsoft mengungkapkan bahwa skrip tersebut tidak hanya memuat skimmer kartu tetapi juga menampilkan mekanisme anti-debugging tetapi tidak dapat mengaburkannya ke tingkat yang diperlukan untuk detail lebih lanjut tentang fungsi itu.

Karakteristik umum di antara semua skimmer kartu pembayaran termasuk adanya string yang disandikan base64 dan fungsi JavaScript “atob()” pada halaman web yang disusupi.

Selain pemindaian dan deteksi aktif, administrator situs web harus memastikan bahwa mereka menjalankan versi terbaru dari sistem manajemen konten (CMS) dan plugin mereka.

Dari perspektif pelanggan, meminimalkan kerusakan skimmer hanya dimungkinkan dengan menggunakan kartu pribadi satu kali, menetapkan batas pembayaran yang ketat, atau menggunakan metode pembayaran elektronik.

Sumber: Bleeping Computer

Peretas menargetkan pemerintah Rusia dengan pembaruan Windows palsu yang mendorong RAT

by

Peretas menargetkan lembaga pemerintah Rusia dengan email phishing yang berpura-pura sebagai pembaruan keamanan Windows dan umpan lain untuk menginstal malware akses jarak jauh.

Serangan dilakukan oleh kelompok APT (ancaman persisten lanjutan) yang sebelumnya tidak terdeteksi yang diyakini beroperasi dari China, yang terkait dengan empat kampanye spear-phishing terpisah.

Operasi ini berlangsung antara Februari dan April 2022, bertepatan dengan invasi Rusia ke Ukraina. Targetnya adalah entitas pemerintah Federasi Rusia.

Dalam keempat kasus, tujuan akhir kampanye adalah menginfeksi target dengan trojan akses jarak jauh (RAT) khusus yang kemungkinan besar membantu operasi spionase.

Penemuan dan laporan datang dari analis di tim Malwarebytes Threat Intelligence, yang memperhatikan upaya khas aktor ancaman untuk menipu kelompok peretasan lain dan lolos tanpa terdeteksi.

Kampanye pertama dari empat kampanye yang dikaitkan dengan APT baru ini dimulai pada Februari 2022, hanya beberapa hari setelah invasi Rusia ke Ukraina, mendistribusikan RAT dengan nama “interactive_map_UA.exe”.

Untuk gelombang kedua, APT punya waktu lebih untuk mempersiapkan sesuatu yang lebih canggih. Mereka menggunakan arsip tar.gz yang seharusnya memperbaiki kerentanan Log4Shell yang dikirim oleh Kementerian Pengembangan Digital, Telekomunikasi, dan Komunikasi Massa Federasi Rusia.

Menurut Malwarebytes, kampanye ini memiliki penargetan yang sempit karena sebagian besar email terkait mencapai karyawan stasiun TV RT, jaringan televisi milik negara Rusia.

Email-email tersebut berisi PDF dengan instruksi untuk menginstal patch Log4j dan bahkan menyertakan saran seperti “jangan membuka atau membalas email yang mencurigakan”.

PDF yang berisi instruksi tentang cara menginstal malware
(Malwarebytes)

Kampanye ketiga memalsukan Rostec, konglomerat pertahanan milik negara Rusia, dan para aktor menggunakan domain yang baru terdaftar seperti “Rostec.digital” dan akun Facebook palsu untuk menyebarkan malware mereka sambil membuatnya tampak seperti berasal dari entitas yang dikenal.

Profil perusahaan palsu di Facebook (Malwarebytes)

Akhirnya, pada April 2022, para peretas China beralih ke dokumen Word yang terinfeksi makro yang berisi iklan pekerjaan palsu oleh Saudi Aramco, sebuah perusahaan minyak dan gas alam besar.

Dokumen tersebut menggunakan injeksi templat jarak jauh untuk mengambil templat jahat dan menjatuhkan skrip VBS ke kandidat yang melamar posisi “Analis Strategi dan Pertumbuhan”.

Rantai infeksi kampanye Aramco (Malwarebytes)

Malwarebytes dapat mengambil sampel muatan yang akan diterapkan pada keempat kampanye dan melaporkan bahwa dalam semua kasus, pada dasarnya DLL yang sama menggunakan nama yang berbeda.

Malware ini menampilkan teknik anti-analisis seperti peratan aliran kontrol melalui OLLVM dan pengaburan string menggunakan pengkodean XOR.

Mengontrol aliran yang merata di malware (Malwarebytes)

Dalam hal perintah yang dapat diminta C2 dari payload, ini termasuk yang berikut:

getcomputername – profilkan host dan tetapkan ID unik
unggah – terima file dari C2 dan tulis ke disk host
mengeksekusi – menjalankan instruksi baris perintah dari C2 dan merespons dengan hasilnya
exit – menghentikan proses malware
ls – mengambil daftar semua file di bawah direktori tertentu dan mengirimkannya ke C2

Perintah unggah malware (Malwarebytes)

Domain C2 yang ditemukan oleh Malwarebytes adalah “windowsipdate[.]com”, “microsoftupdetes[.]com”, dan “mirror-exchange[.]com”.

Temuan menarik lainnya adalah bahwa APT baru menggunakan pembuat makro yang sama untuk gelombang Saudi Aramco seperti TrickBot dan BazarLoader.

Terakhir, ada penyebaran perpustakaan wolfSSL, yang biasanya terlihat secara eksklusif di kampanye Lazarus atau Tropic Trooper.

Sumber: Bleeping Computer

Peretas dapat meretas akun online Anda bahkan sebelum Anda mendaftarkannya

by

Peneliti keamanan telah mengungkapkan bahwa peretas dapat membajak akun online Anda bahkan sebelum Anda mendaftarkannya dengan mengeksploitasi kelemahan yang telah diperbaiki di situs web populer, termasuk Instagram, LinkedIn, Zoom, WordPress, dan Dropbox.

Andrew Paverd, seorang peneliti di Microsoft Security Response Center, dan Avinash Sudhodanan, seorang peneliti keamanan independen, menganalisis 75 layanan online populer dan menemukan bahwa setidaknya 35 rentan terhadap serangan pra-pembajakan akun.

Serangan ini bervariasi dalam jenis dan tingkat keparahannya, tetapi semuanya berasal dari praktik keamanan yang buruk di sisi situs web itu sendiri.

Agar serangan pra-pembajakan bekerja, peretas perlu mengetahui alamat email target, yang relatif mudah melalui korespondensi email atau melalui berbagai pelanggaran data yang mengganggu perusahaan setiap hari.

Selanjutnya, penyerang membuat akun di situs yang rentan menggunakan alamat email target dan berharap korban mengabaikan pemberitahuan yang masuk ke kotak masuk mereka, menganggapnya sebagai spam. Terakhir, penyerang menunggu korban membuat akun di situs atau secara tidak langsung menipu mereka untuk melakukannya.

Alur serangan pra-pembajakan umum (Microsoft)

Selama proses ini, ada lima serangan berbeda yang dapat dilakukan oleh aktor ancaman, yaitu gabungan federasi klasik (CFM), ID sesi yang belum kedaluwarsa (AS), pengenal trojan (TID), perubahan email yang belum kedaluwarsa (UEC), dan Serangan penyedia identitas (IdP) (NV) yang tidak memverifikasi.

Dalam kasus pertama, CFM, platform yang rentan menggunakan penggabungan akun ketika target membuat akun dengan alamat email yang ada dan, dalam beberapa kasus, bahkan tidak memberi tahu mereka tentang fakta tersebut. Serangan ini bergantung pada pemberian opsi masuk tunggal (SSO) kepada korban, sehingga mereka tidak pernah mengubah kata sandi yang ditetapkan oleh penyerang.

Dalam serangan sesi yang belum kedaluwarsa, peretas membuat sesi tetap aktif setelah membuat akun menggunakan skrip otomatis. Saat korban membuat akun dan mengatur ulang kata sandi, sesi aktif mungkin tidak dibatalkan, sehingga penyerang dapat terus mengakses akun.

Metode pengenal trojan menggabungkan serangan Classic-Federated Merge dan Unexpired Session.

Dalam serangan UEC, penyerang membuat akun menggunakan alamat email korban dan kemudian mengirimkan permintaan perubahan untuk email itu tetapi tidak mengonfirmasinya. Kemudian, setelah korban melakukan reset kata sandi, penyerang memvalidasi perubahan dan mengambil alih kendali akun.

Terakhir, dalam serangan NV, pelaku ancaman mengeksploitasi kurangnya verifikasi kepemilikan IdP saat membuat akun, membuka jalan untuk menyalahgunakan layanan login berbasis cloud seperti Okta dan Onelogin.

Metode serangan pra-pembajakan (arxiv.org)

Banyak layanan saat ini mengharuskan pengguna baru untuk memvalidasi kepemilikan alamat email, sehingga membuat akun baru dengan alamat email orang lain tidak akan berfungsi tanpa akses ke akun email tersebut.

Untuk melewati ini, penyerang dapat membuat akun menggunakan alamat email mereka dan kemudian beralih ke alamat email korban, menyalahgunakan fungsi standar yang tersedia di sebagian besar layanan online.

Dalam beberapa kasus, layanan tidak memerlukan verifikasi kedua untuk alamat email baru, yang memungkinkan pelaku ancaman untuk memasang serangan yang dijelaskan di atas.

Studi menunjukkan bahwa ketersediaan serangan yang berbeda serupa, dengan masalah sesi yang belum kedaluwarsa menjadi yang paling umum dalam kumpulan data terbatas.

Beberapa contoh platform yang rentan adalah Dropbox (UEC), Instagram (TID), LinkedIn (AS), WordPress.com (AS dan UEC), dan Zoom (CFM dan NV).

Situs yang rentan terhadap pra-pembajakan akun (arxiv.org)

Para peneliti melaporkan masalah ini secara bertanggung jawab ke platform, banyak di antaranya memperbaikinya setelah mengkategorikannya sebagai tingkat keparahan yang tinggi.

Namun, penting untuk digarisbawahi bahwa temuan ini hanya menyangkut segelintir situs, dan harus ada lebih banyak lagi yang mengikuti praktik keamanan buruk serupa.

Masalah utama dengan subkategori masalah keamanan ini dan akar penyebab kerentanan yang teridentifikasi adalah kurangnya verifikasi yang ketat.

Untuk menangani risiko akun yang dibajak sebelumnya, pengguna dapat segera mengatur MFA (autentikasi multi-faktor) di akun mereka, yang juga akan memaksa semua sesi sebelumnya menjadi tidak valid.

Sumber: Bleeping Computer