Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Windows Palsu mengeksploitasi komunitas infosec target dengan Cobalt Strike

by

Seorang aktor ancaman menargetkan peneliti keamanan dengan eksploitasi bukti konsep Windows palsu yang menginfeksi perangkat dengan pintu belakang Cobalt Strike.

Siapa pun yang berada di balik serangan ini memanfaatkan kerentanan eksekusi kode jarak jauh Windows yang baru-baru ini ditambal yang dilacak sebagai CVE-2022-24500 dan CVE-2022-26809.

Saat Microsoft menambal kerentanan, biasanya peneliti keamanan menganalisis perbaikan dan merilis eksploitasi proof-of-concept untuk kelemahan di GitHub.

Eksploitasi proof-of-concept ini digunakan oleh peneliti keamanan untuk menguji pertahanan mereka sendiri dan untuk mendorong admin menerapkan pembaruan keamanan.

Namun, aktor ancaman biasanya menggunakan eksploitasi ini untuk melakukan serangan atau menyebar secara lateral dalam jaringan.

Pekan lalu, seorang aktor ancaman menerbitkan dua eksploitasi proof-of-concept di GitHub untuk kerentanan Windows CVE-2022-24500 dan CVE-2022-26809 di GitHub.

Eksploitasi ini dipublikasikan di repositori untuk pengguna bernama ‘rkxxz’, yang telah dihapus dan akunnya dihapus.

CVE-2022-24500 PoC palsu diposting ke GitHub

Seperti yang selalu terjadi ketika PoC diterbitkan, berita dengan cepat menyebar di Twitter, dan bahkan menarik perhatian aktor ancaman yang mempostingnya di forum peretasan.

PoC palsu dibagikan di forum peretasan

Namun, segera menjadi jelas bahwa eksploitasi proof-of-concept ini palsu dan memasang suar Cobalt Strike di perangkat orang.

Cobalt Strike adalah alat pentesting yang sah yang biasanya digunakan oleh pelaku ancaman untuk menembus dan menyebar secara lateral melalui suatu organisasi.

Dalam laporan cybersecurity Cyble, analis ancaman menganalisis PoC dan menemukan bahwa itu adalah aplikasi .NET yang berpura-pura mengeksploitasi alamat IP yang sebenarnya menginfeksi pengguna dengan pintu belakang.

Demonstrasi eksploitasi PoC CVE-2022-24500 palsu
Sumber: BleepingComputer

Dari sampel PoC yang tidak disamarkan yang dibagikan dengan BleepingComputer oleh Cyble, kita dapat melihat bahwa PoC palsu meluncurkan skrip PowerShell yang mengeksekusi skrip PowerShell yang dikompresi gzip [malshare | VirusTotal] untuk menyuntikkan suar ke dalam memori.

PoC palsu meluncurkan skrip PowerShell

Pada Januari 2021, kelompok peretasan Lazarus Korea Utara menargetkan peneliti kerentanan melalui akun media sosial dan kerentanan browser zero-day.

Pada Maret 2021, peretas Korea Utara kembali menargetkan komunitas infosec dengan membuat perusahaan keamanan siber palsu bernama SecuriElite (berlokasi di Turki).

Pada bulan November, peretasan Lazarus melakukan kampanye lain menggunakan versi trojan dari aplikasi rekayasa balik IDA Pro yang menginstal trojan akses jarak jauh NukeSped.

Dengan menargetkan komunitas infosec, pelaku ancaman tidak hanya mendapatkan akses ke penelitian kerentanan yang mungkin sedang dikerjakan korban, tetapi juga berpotensi mendapatkan akses ke jaringan perusahaan keamanan siber.

Karena perusahaan keamanan siber cenderung memiliki informasi sensitif tentang klien, seperti penilaian kerentanan, kredensial akses jarak jauh, atau bahkan kerentanan zero-day yang tidak diungkapkan, jenis akses ini bisa sangat berharga bagi pelaku ancaman.

Sumber: Bleeping Computer

Bug Baru yang Belum Ditambal Dapat Membiarkan Penyerang Mencuri Uang dari Pengguna PayPal

by

Seorang peneliti keamanan mengklaim telah menemukan kerentanan yang belum ditambal dalam layanan transfer uang PayPal yang memungkinkan penyerang mengelabui korban agar tanpa sadar menyelesaikan transaksi yang diarahkan penyerang dengan satu klik.

Clickjacking, juga disebut UI redressing, mengacu pada teknik di mana pengguna tanpa disadari ditipu untuk mengklik elemen halaman web yang tampaknya tidak berbahaya seperti tombol dengan tujuan mengunduh malware, mengarahkan ulang ke situs web jahat, atau mengungkapkan informasi sensitif.

Ini biasanya dicapai dengan menampilkan halaman yang tidak terlihat atau elemen HTML di atas halaman yang terlihat, menghasilkan skenario di mana pengguna tertipu dengan berpikir bahwa mereka mengklik halaman yang sah padahal mereka sebenarnya mengklik elemen jahat yang dihamparkan di atasnya.

“Dengan demikian, penyerang ‘membajak’ klik yang dimaksudkan untuk halaman [yang sah] dan mengarahkannya ke halaman lain, kemungkinan besar dimiliki oleh aplikasi lain, domain, atau keduanya,” tulis peneliti keamanan h4x0r_dz dalam sebuah posting yang mendokumentasikan temuan tersebut.

h4x0r_dz, yang menemukan masalah ini di titik akhir “www.paypal[.]com/agreements/approve”, mengatakan masalah itu dilaporkan ke perusahaan pada Oktober 2021.

“Titik akhir ini dirancang untuk Perjanjian Penagihan dan seharusnya hanya menerima billingAgreementToken,” peneliti menjelaskan. “Tetapi selama pengujian mendalam saya, saya menemukan bahwa kami dapat melewati jenis token lain, dan ini mengarah pada pencurian uang dari akun PayPal korban.”

Ini berarti bahwa musuh dapat menyematkan titik akhir yang disebutkan di dalam iframe, menyebabkan korban yang sudah masuk ke browser web untuk mentransfer dana ke akun PayPal yang dikendalikan penyerang hanya dengan mengklik tombol.

Yang lebih memprihatinkan, serangan itu bisa memiliki konsekuensi bencana di portal online yang terintegrasi dengan PayPal untuk checkout, memungkinkan pelaku jahat untuk mengurangi jumlah sewenang-wenang dari akun PayPal pengguna.

“Ada layanan online yang memungkinkan Anda menambahkan saldo menggunakan PayPal ke akun Anda,” kata h4x0r_dz. “Saya dapat menggunakan exploit yang sama dan memaksa pengguna untuk menambahkan uang ke akun saya, atau saya dapat mengeksploitasi bug ini dan membiarkan korban membuat/membayar akun Netflix untuk saya!”

(Pembaruan: Cerita telah diperbaiki untuk menyebutkan bahwa bug tersebut masih belum ditambal dan bahwa peneliti keamanan tidak diberikan hadiah bug apa pun untuk melaporkan masalah tersebut. Kesalahan ini disesalkan. Kami juga telah menghubungi PayPal untuk detail lebih lanjut.)

Sumber: The Hacker News

Interpol: Senjata Siber Buatan Militer akan Segera Tersedia di Web Gelap

by

Alat digital yang digunakan oleh militer untuk melakukan perang dunia maya pada akhirnya bisa berakhir di tangan penjahat dunia maya, seorang pejabat tinggi Interpol telah memperingatkan.

Jurgen Stock, sekretaris jenderal badan kepolisian internasional, mengatakan dia khawatir senjata siber yang dikembangkan negara akan tersedia di darknet – bagian tersembunyi dari internet yang tidak dapat diakses melalui mesin pencari seperti Google – dalam “beberapa tahun.”

“Itu adalah perhatian utama di dunia fisik – senjata yang digunakan di medan perang dan besok akan digunakan oleh kelompok kejahatan terorganisir,” kata Stock dalam panel yang dimoderatori CNBC di Forum Ekonomi Dunia di Davos, Swiss, Senin.

“Begitu juga dengan senjata digital yang mungkin hari ini digunakan oleh militer, dikembangkan oleh militer, dan besok akan tersedia untuk penjahat,” tambahnya.

Cyberweapon datang dalam berbagai bentuk, dengan ransomware — di mana peretas mengunci sistem komputer perusahaan dan menuntut pembayaran uang tebusan untuk memulihkan kendali — menjadi salah satu kuncinya. Topik perang siber telah lama menjadi perhatian pemerintah global, tetapi mendapat perhatian baru di tengah perang Rusia-Ukraina.

Moskow telah disalahkan atas berbagai serangan siber yang terjadi sebelum dan selama invasi militernya ke Ukraina. Kremlin secara konsisten membantah tuduhan tersebut. Sementara itu, Ukraina telah meminta bantuan peretas sukarelawan dari seluruh dunia untuk membantunya bertahan melawan agresi Rusia.

Stock meminta para pemimpin bisnis untuk meningkatkan kerja sama dengan pemerintah dan otoritas penegak hukum untuk memastikan pemolisian kejahatan dunia maya yang lebih efektif.

“Di satu sisi, kami menyadari apa yang terjadi, di sisi lain, kami membutuhkan data, yang ada di sektor swasta,” katanya.

“Kami membutuhkan laporan [pelanggaran dunia maya] Anda. Tanpa laporan Anda, kami buta.”

“Sejumlah besar” serangan siber tidak dilaporkan, kata Stock. “Itu adalah celah yang perlu kita tutup bersama, bukan hanya penegakan hukum yang mengharuskan kita membangun jembatan antara silo kita, pulau informasi.”

Jumlah serangan siber meningkat lebih dari dua kali lipat secara global pada tahun 2021, menurut laporan Outlook Keamanan Siber Global Forum Ekonomi Dunia. Ransomware tetap menjadi jenis serangan paling populer, menurut laporan itu, dengan rata-rata organisasi menjadi sasaran 270 kali setahun.

Insiden keamanan siber menempatkan infrastruktur energi kritis dan rantai pasokan dalam risiko, kata eksekutif dan pejabat pemerintah di panel tersebut.

Robert Lee, CEO dan salah satu pendiri perusahaan keamanan siber Dragos, mendesak bisnis untuk fokus pada skenario dunia nyata — seperti serangan yang didukung negara Rusia terhadap jaringan listrik Ukraina pada 2015 — daripada risiko yang lebih hipotetis. Ukraina menangkis upaya serupa untuk mengkompromikan infrastruktur energinya pada April tahun ini.

“Masalah kami tidak membutuhkan AI ‘next-gen’, blockchain, atau apa pun,” kata Lee. “Masalah kami biasanya hanya tentang meluncurkan hal-hal yang telah kami investasikan.”

Sumber: CNBC

Spyware ‘Predator’ Biarkan Peretas Pemerintah Membobol Chrome dan Android

by

Sebuah perusahaan pengawasan swasta yang mencurigakan menjual akses kelemahan keamanan yang kuat di Chrome dan Android tahun lalu kepada peretas yang berafiliasi dengan pemerintah, Google mengungkapkan Senin.

Cytrox, sebuah perusahaan rahasia yang berbasis di Makedonia Utara, diduga menjual akses empat kelemahan keamanan zero-day di browser Chrome serta satu di sistem operasi Android. Kliennya adalah “aktor ancaman” yang terkait dengan pemerintah di beberapa negara asing yang menggunakan eksploitasi untuk melakukan kampanye peretasan dengan spyware invasif Cytrox “Predator.

“Kami menilai dengan keyakinan tinggi bahwa eksploitasi ini dikemas oleh satu perusahaan pengawasan komersial, Cytrox, dan dijual ke berbagai aktor yang didukung pemerintah yang menggunakannya setidaknya dalam tiga kampanye yang dibahas di bawah ini,” peneliti dengan Google’s Threat Analysis Group (TAG) dijelaskan dalam posting blog.

Cytrox juga dikatakan telah memberi kliennya akses ke sejumlah “n-days”—kerentanan yang sudah memiliki patch yang dikeluarkan untuk mereka. Dalam kasus ini, pengguna yang ditargetkan mungkin belum memperbarui perangkat atau aplikasi mereka.

Peretas yang membeli layanan dan spyware Cytrox berbasis di seluruh dunia—Yunani, Serbia, Mesir, Armenia, Spanyol, Indonesia, Madagaskar, dan Pantai Gading, tulis para peneliti. Tim TAG Google juga menulis tentang tren baru yang mengganggu: mayoritas kerentanan zero-day yang mereka temukan tahun lalu sengaja “dikembangkan” oleh perusahaan pengawasan swasta seperti Cytrox.

“Tujuh dari sembilan TAG 0 hari yang ditemukan pada tahun 2021 termasuk dalam kategori ini: dikembangkan oleh penyedia komersial dan dijual kepada serta digunakan oleh aktor yang didukung pemerintah,” tulis para peneliti. “TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah.”

Skandal peretasan yang terkait dengan industri pengawasan swasta telah menimbulkan kontroversi signifikan dalam beberapa tahun terakhir. Secara khusus, perusahaan spyware terkenal NSO Group telah dituduh menjual alat intrusi digital canggihnya kepada pemerintah di seluruh dunia.

Sumber: Gizmodo

Bug Baru yang Belum Ditambal Dapat Membiarkan Penyerang Mencuri Uang dari Pengguna PayPal

by

Seorang peneliti keamanan mengklaim telah menemukan kerentanan yang belum ditambal dalam layanan transfer uang PayPal yang memungkinkan penyerang mengelabui korban agar tanpa sadar menyelesaikan transaksi yang diarahkan penyerang dengan satu klik.

Clickjacking, juga disebut UI redressing, mengacu pada teknik di mana pengguna tanpa disadari ditipu untuk mengklik elemen halaman web yang tampaknya tidak berbahaya seperti tombol dengan tujuan mengunduh malware, mengarahkan ulang ke situs web jahat, atau mengungkapkan informasi sensitif.

Ini biasanya dicapai dengan menampilkan halaman yang tidak terlihat atau elemen HTML di atas halaman yang terlihat, menghasilkan skenario di mana pengguna tertipu dengan berpikir bahwa mereka mengklik halaman yang sah padahal mereka sebenarnya mengklik elemen jahat yang dihamparkan di atasnya.

“Dengan demikian, penyerang ‘membajak’ klik yang dimaksudkan untuk halaman [yang sah] dan mengarahkannya ke halaman lain, kemungkinan besar dimiliki oleh aplikasi lain, domain, atau keduanya,” tulis peneliti keamanan h4x0r_dz dalam sebuah posting yang mendokumentasikan temuan tersebut.

h4x0r_dz, yang menemukan masalah ini di titik akhir “www.paypal[.]com/agreements/approve”, mengatakan masalah itu dilaporkan ke perusahaan pada Oktober 2021.

“Titik akhir ini dirancang untuk Perjanjian Penagihan dan seharusnya hanya menerima billingAgreementToken,” peneliti menjelaskan. “Tetapi selama pengujian mendalam saya, saya menemukan bahwa kami dapat melewati jenis token lain, dan ini mengarah pada pencurian uang dari akun PayPal korban.”

Ini berarti bahwa musuh dapat menyematkan titik akhir yang disebutkan di dalam iframe, menyebabkan korban yang sudah masuk ke browser web untuk mentransfer dana ke akun PayPal yang dikendalikan penyerang hanya dengan mengklik tombol.

Yang lebih memprihatinkan, serangan itu bisa memiliki konsekuensi bencana di portal online yang terintegrasi dengan PayPal untuk checkout, memungkinkan pelaku jahat untuk mengurangi jumlah sewenang-wenang dari akun PayPal pengguna.

“Ada layanan online yang memungkinkan Anda menambahkan saldo menggunakan PayPal ke akun Anda,” kata h4x0r_dz. “Saya dapat menggunakan exploit yang sama dan memaksa pengguna untuk menambahkan uang ke akun saya, atau saya dapat mengeksploitasi bug ini dan membiarkan korban membuat/membayar akun Netflix untuk saya!”

Pembaruan: bug tersebut masih belum ditambal dan bahwa peneliti keamanan tidak diberikan hadiah bug apa pun untuk melaporkan masalah tersebut. Kesalahan ini disesalkan. Kami juga telah menghubungi PayPal untuk detail lebih lanjut.

Sumber: The Hacker News

Mozilla Rilis Produk Keamanan untuk Beberapa Produk Firefox

by

Mozilla mengumumkan pembaruan keamanan pada situs resminya pada hari jum’at, 20 mei. Versi baru Firefox ini adalah Firefox 100.0.2, Firefox ESR 91.9.1, Thunderbird 91.9.1 dan Firefox untuk Android 100.3.

Pembaruan ini memperbaiki 2 kerentanan, yang dapat dieksploitasi untuk mengendalikan sistem yang terpengaruh. Kerentanan tersebut adalah :

  • CVE-2022-1802: Polusi prototipe dalam implementasi Tingkat Atas Menunggu. Jika penyerang dapat merusak metode objek Array dalam JavaScript melalui polusi prototipe, mereka dapat mencapai eksekusi kode JavaScript yang dikendalikan penyerang dalam konteks istimewa.
  • CVE-2022-1529: Input tidak tepercaya yang digunakan dalam pengindeksan objek JavaScript, yang menyebabkan polusi prototipe. Penyerang bisa saja mengirim pesan ke proses induk di mana konten digunakan untuk mengindeks ganda ke objek JavaScript, yang mengarah ke polusi prototipe dan akhirnya JavaScript yang dikendalikan penyerang mengeksekusi dalam proses induk yang diistimewakan.

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Mozilla Update

Google: Predator spyware menginfeksi perangkat Android menggunakan zero-days

by

Grup Analisis Ancaman Google (TAG) mengatakan bahwa aktor ancaman yang didukung negara menggunakan lima kerentanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Dalam serangan ini, bagian dari tiga kampanye yang dimulai antara Agustus dan Oktober 2021, penyerang menggunakan eksploitasi zero-day yang menargetkan Chrome dan OS Android untuk memasang implan spyware Predator pada perangkat Android yang sepenuhnya diperbarui.

Pelaku kejahatan yang didukung pemerintah yang membeli dan menggunakan eksploitasi ini untuk menginfeksi target Android dengan spyware berasal dari Mesir, Armenia, Yunani, Madagaskar, Pantai Gading, Serbia, Spanyol, dan Indonesia, menurut analisis Google.

Temuan ini sejalan dengan laporan tentang spyware tentara bayaran Cytrox yang diterbitkan oleh CitizenLab pada Desember 2021, ketika para penelitinya menemukan alat berbahaya di telepon politisi Mesir yang diasingkan, Ayman Nour.

Ponsel Nour juga terinfeksi spyware Pegasus NSO Group, dengan dua alat yang dioperasikan oleh dua klien pemerintah yang berbeda menurut penilaian CitizenLab.

Lima kerentanan keamanan 0 hari yang sebelumnya tidak diketahui yang digunakan dalam kampanye ini meliputi CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 di Chrome dan CVE-2021-1048 di Android

Pelaku ancaman menyebarkan eksploitasi yang menargetkan zero-days ini dalam tiga kampanye terpisah:

  • Kampanye #1 – mengalihkan ke SBrowser dari Chrome (CVE-2021-38000)
  • Kampanye #2 – Escape sandbox Chrome (CVE-2021-37973, CVE-2021-37976)
  • Kampanye #3 – Rantai eksploitasi Android 0 hari penuh (CVE-2021-38003, CVE-2021-1048)

“Ketiga kampanye mengirimkan tautan satu kali yang meniru layanan pemendek URL ke pengguna Android yang ditargetkan melalui email. Kampanye terbatas — dalam setiap kasus, kami menilai jumlah target mencapai puluhan pengguna,” tambah analis Google TAG.

“Setelah diklik, tautan mengarahkan target ke domain milik penyerang yang mengirimkan eksploitasi sebelum mengarahkan browser ke situs web yang sah. Jika tautan tidak aktif, pengguna diarahkan langsung ke situs web yang sah.”

Teknik serangan ini juga digunakan terhadap jurnalis dan pengguna Google lainnya yang diberi tahu bahwa mereka adalah target serangan yang didukung pemerintah.

Dalam kampanye ini, penyerang pertama kali menginstal trojan perbankan Android Alien dengan fungsi RAT yang digunakan untuk memuat implan Android Predator, memungkinkan perekaman audio, menambahkan sertifikat CA, dan menyembunyikan aplikasi.

Laporan ini merupakan tindak lanjut dari analisis Juli 2021 dari empat kelemahan 0 hari lainnya yang ditemukan pada tahun 2021 di Chrome, Internet Explorer, dan WebKit (Safari).

Seperti yang diungkapkan peneliti Google TAG, peretas pemerintah yang didukung Rusia yang terhubung dengan Layanan Intelijen Asing Rusia (SVR) mengeksploitasi Safari zero-day untuk menargetkan perangkat iOS milik pejabat pemerintah dari negara-negara Eropa Barat.

Sumber: Bleeping Computer

PDF menyelundupkan dokumen Microsoft Word untuk menjatuhkan malware Snake Keylogger

by

Analis ancaman telah menemukan kampanye distribusi malware baru-baru ini menggunakan lampiran PDF untuk menyelundupkan dokumen Word berbahaya yang menginfeksi pengguna dengan malware.

Pilihan PDF tidak biasa, karena sebagian besar email berbahaya saat ini datang dengan lampiran DOCX atau XLS yang dicampur dengan kode makro yang memuat malware.

Dalam laporan baru oleh HP Wolf Security, para peneliti menggambarkan bagaimana PDF digunakan sebagai transportasi untuk dokumen dengan makro jahat yang mengunduh dan menginstal malware pencuri informasi di mesin korban.

PDF datang melalui email bernama “Faktur Pengiriman Uang”, dan dugaan kami adalah bahwa badan email berisi janji pembayaran yang tidak jelas kepada penerima.

Saat PDF dibuka, Adobe Reader meminta pengguna untuk membuka file DOCX yang ada di dalamnya, yang sudah tidak biasa dan mungkin membingungkan korban.

Karena pelaku ancaman menyebut dokumen yang disematkan “telah diverifikasi”, perintah Buka File di bawah menyatakan, “File ‘telah diverifikasi.” Pesan ini dapat mengelabui penerima agar percaya bahwa Adobe memverifikasi file tersebut sebagai sah dan bahwa file tersebut aman untuk dibuka.

Dialog meminta persetujuan tindakan (HP)

Sementara analis malware dapat memeriksa file yang disematkan dalam PDF menggunakan parser dan skrip, pengguna biasa yang menerima email rumit ini tidak akan bertindak sejauh itu atau bahkan tahu harus mulai dari mana.

Dengan demikian, banyak yang dapat membuka DOCX di Microsoft Word, dan jika makro diaktifkan, akan mengunduh file RTF (format teks kaya) dari sumber jarak jauh dan membukanya.

DAPATKAN permintaan untuk mengambil file RTF (HP)

Pengunduhan RTF adalah hasil dari perintah berikut, yang disematkan dalam file Word bersama dengan URL hardcode “vtaurl[.]com/IHytw”, yang merupakan tempat payload di-host.

URL yang menghosting file RTF (HP)

Dokumen RTF diberi nama “f_document_shp.doc” dan berisi objek OLE yang salah format, kemungkinan menghindari analisis. Setelah beberapa rekonstruksi yang ditargetkan, analis HP menemukan bahwa ia mencoba menyalahgunakan kerentanan Editor Persamaan Microsoft lama untuk menjalankan kode arbitrer.

Shellcode yang didekripsi menyajikan payload (HP)

Shellcode yang digunakan mengeksploitasi CVE-2017-11882, bug eksekusi kode jarak jauh di Editor Persamaan yang diperbaiki pada November 2017 tetapi masih tersedia untuk dieksploitasi di alam liar.

Dengan mengeksploitasi CVE-2017-11882, shellcode dalam RTF mengunduh dan menjalankan Snake Keylogger, pencuri info modular dengan ketekunan yang kuat, penghindaran pertahanan, akses kredensial, pengumpulan data, dan kemampuan eksfiltrasi data.

Sumber: Bleeping Computer