Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Microsoft Teams di Windows 11 diretas pada hari pertama Pwn2Own

by

Selama hari pertama Pwn2Own Vancouver 2022, kontestan memenangkan $800.000 setelah berhasil mengeksploitasi 16 bug zero-day untuk meretas beberapa produk, termasuk sistem operasi Microsoft Windows 11 dan platform komunikasi Teams.

Yang pertama jatuh adalah Microsoft Teams dalam kategori komunikasi perusahaan setelah Hector Peralta mengeksploitasi cacat konfigurasi yang tidak tepat.

Tim STAR Labs (Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan, dan Nguyễn Hoàng Thạch) juga mendemonstrasikan rantai eksploitasi tanpa klik dari 2 bug (injeksi dan penulisan file arbitrer).

Microsoft Teams diretas untuk ketiga kalinya oleh Masato Kinugawa, yang mengeksploitasi rantai 3-bug dari injeksi, kesalahan konfigurasi, dan pelarian sandbox.

Masing-masing dari mereka memperoleh $150.000 karena berhasil mendemonstrasikan tim Microsoft mereka zero-days.

STAR Labs juga mendapatkan tambahan $40.000 setelah meningkatkan hak istimewa pada sistem yang menjalankan Windows 11 menggunakan kelemahan Use-After-Free dan tambahan $40.000 dengan mencapai eskalasi hak istimewa di Oracle Virtualbox.

Setelah kerentanan keamanan ditunjukkan dan diungkapkan selama Pwn2Own, vendor perangkat lunak dan perangkat keras memiliki waktu 90 hari untuk mengembangkan dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan.

Selama kontes Pwn2Own Vancouver 2022, peneliti keamanan akan menargetkan produk di browser web, virtualisasi, Peningkatan Hak Istimewa Lokal, server, komunikasi perusahaan, dan kategori otomotif.

Sumber: BleepingComputer

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

by

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Alur serangan XorDDoS (Microsoft)

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

Geng Ransomware lebih mengandalkan kerentanan persenjataan

by

Peneliti keamanan memperingatkan bahwa layanan akses jarak jauh eksternal terus menjadi vektor utama geng ransomware untuk menembus jaringan perusahaan, tetapi ada peningkatan penting dalam mengeksploitasi kerentanan.

Seiring dengan phishing dan mengeksploitasi kerentanan dalam aplikasi yang menghadap publik, ini adalah metode utama kompromi yang pada akhirnya menyebabkan pelaku ancaman mencuri data dan mengenkripsi sistem.

sumber: Group-IB

Menurut perusahaan keamanan siber Group-IB, pelaku ancaman biasanya menargetkan server desktop jarak jauh (RDP) yang diekspos di web untuk akses awal ke jaringan.

Kredensial yang disusupi juga populer di beberapa afiliasi ransomware, yang menggunakan login untuk menyerang infrastruktur dari dalam.

Perusahaan keamanan siber mencatat dalam sebuah laporan hari ini bahwa tahun lalu geng ransomware mulai fokus pada beberapa kerentanan dalam aplikasi yang dihadapi publik, dan bergerak cepat untuk menambahkan eksploitasi untuk masalah keamanan yang baru diungkapkan.

Di antara kerentanan paling menonjol yang diidentifikasi oleh Group-IB sebagai digunakan oleh pelaku ancaman ransomware pada tahun 2021 adalah sebagai berikut:

  • CVE-2021-20016 (SonicWall SMA100 SSL VPN)
  • CVE-2021-26084 (Pertemuan Atlassian)
  • CVE-2021-26855 (Microsoft Exchange)
  • CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, dan CVE-2021-27104 (Accellion FTA)
  • CVE-2021-30116 (Kaseya VSA)
  • CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207 (Microsoft Exchange)
  • CVE-2021-35211 (Angin Matahari)

Laporan bersama yang baru-baru ini diterbitkan dari Cyber ​​Security Works, Securin, Cyware, dan Ivanti mencatat bahwa jumlah kerentanan yang terkait dengan serangan ransomware telah berkembang menjadi 310 pada kuartal pertama tahun 2022.

Namun, tidak semua bug itu baru. Setengah dari kelemahan yang baru-baru ini terkait dengan serangan ransomware terungkap pada tahun 2019. Namun, ada banyak eksploitasi publik untuk mereka, yang membuat pekerjaan penyerang menjadi lebih mudah.

Pada kuartal pertama tahun 2022, keempat perusahaan menemukan bahwa pelaku ransomware secara aktif mengeksploitasi total 157 kerentanan, sedikit lebih banyak dari pada kuartal sebelumnya.

sumber: laporan penelitian ransomware

Melihat situs kebocoran aktor ancaman, Group-IB mengatakan bahwa geng ransomware menerbitkan informasi dari 3.500 korban, kebanyakan dari mereka berbasis di AS (1.655).

Operasi ransomware paling agresif pada tahun 2021 adalah LockBit dan Conti (juga dikonfirmasi dalam laporan dari perusahaan lain), masing-masing dengan jumlah korban 670 dan 640, masing-masing. Tempat ketiga ditempati oleh Pysa, dengan data dari 186 korban dipublikasikan di situs kebocoran mereka.

sumber: Group-IB

Tim forensik digital dan respons insiden (DFIR) perusahaan menyelidiki lebih dari 700 serangan ransomware tahun lalu dan menemukan bahwa pemalsuan data telah terjadi pada 63% kasus.

Berdasarkan data yang dikumpulkan dari insiden ini, Group-IB memperkirakan bahwa permintaan tebusan rata-rata $247.000 tahun lalu.

Eksfiltrasi data tetap menjadi taktik yang kuat bagi pelaku ransomware untuk menekan korban agar membayar uang tebusan. Beberapa geng telah melangkah lebih jauh dengan membuat alat khusus dan menawarkannya kepada afiliasi.

Di antara teknik yang diamati oleh Group-IB dalam serangan ransomware, di bagian atas bagan adalah penggunaan penerjemah perintah dan skrip serta layanan jarak jauh, keduanya menjadi bagian dari semua serangan yang diselidiki oleh para peneliti.

Selain itu, musuh juga menggunakan berbagai metode untuk menemukan sistem jarak jauh, mencuri kredensial (Mimikatz, Lazagne), dan menonaktifkan alat keamanan.

Sumber: Group IB

Adapun alat yang digunakan dalam berbagai langkah serangan, Group-IB membuat 10 besar, di mana SoftPerfect Network Scanner berada di urutan teratas.

Di lebih dari setengah insiden ransomware yang diselidiki, para peneliti menemukan suar Cobalt Strike, alat umum untuk tahap pasca-eksploitasi karena memungkinkan berbagai tindakan (eksekusi skrip, penekanan tombol logging, unduhan file).

Sumber: Group IB

Pembela dapat menggunakan informasi ini untuk mengatur deteksi yang dapat menangkap aktivitas berbahaya yang sedang berlangsung sebelum serangan terakhir terjadi.

Namun, meskipun mengubah taktik, dan mengadopsi alat dan teknik baru, tahap utama serangan ransomware tetap sama:

Sumber: Group IB

Oleg Skulkin, kepala tim DFIR Group-IB, mengatakan bahwa penggabungan taktik, teknik, dan prosedur (TTPs) karena afiliasi yang bermigrasi dari satu operasi ransomware ke operasi ransomware lainnya mempersulit profesional keamanan untuk melacak metode yang diadopsi musuh ini.

Namun, mendefinisikan tren utama dengan cara standar seperti matriks MITER ATT@CK akan mempermudah persiapan menghadapi insiden ransomware.

Sumber: Bleeping Computer

Peretas Lazarus menargetkan server VMware dengan eksploitasi Log4Shell

by

Kelompok peretas Korea Utara yang dikenal sebagai Lazarus mengeksploitasi kerentanan eksekusi kode jarak jauh Log4J untuk menyuntikkan pintu belakang yang mengambil muatan pencuri informasi di server VMware Horizon.

Kerentanan dilacak sebagai CVE-2021-44228, alias Log4Shell, dan berdampak pada banyak produk, termasuk VMware Horizon.

Eksploitasi penyebaran Horizon yang rentan dimulai pada Januari 2022, tetapi banyak admin belum menerapkan pembaruan keamanan yang tersedia.

Menurut laporan yang diterbitkan oleh analis di ASEC Ahnlab, Lazarus telah menargetkan produk VMware yang rentan melalui Log4Shell sejak April 2022.

Untuk memulai serangan, pelaku ancaman mengeksploitasi kerentanan Log4j melalui layanan Apache Tomcat Vmware Horizon untuk menjalankan perintah PowerShell. Perintah PowerShell ini pada akhirnya akan mengarah pada pemasangan pintu belakang NukeSped di server.

Log untuk instalasi NukeSped (ASEC)

NukeSped (atau NukeSpeed) adalah malware backdoor yang pertama kali dikaitkan dengan peretas DPRK pada musim panas 2018 dan kemudian ditautkan ke kampanye 2020 yang diatur oleh Lazarus.

Varian terbaru yang diambil sampelnya dan dianalisis oleh ASEC ditulis dalam C++ dan menggunakan enkripsi RC4 untuk berkomunikasi secara aman dengan infrastruktur C2. Sebelumnya, ini menggunakan XOR.

NukeSped melakukan berbagai operasi spionase di lingkungan yang disusupi, seperti mengambil tangkapan layar, merekam penekanan tombol, mengakses file, dll. Selain itu, NukeSped mendukung perintah baris perintah.

Dua modul baru yang terlihat pada varian NukeSped saat ini adalah satu untuk membuang konten USB dan satu untuk mengakses perangkat kamera web.

Lazarus menggunakan NukeSped untuk menginstal malware pencuri informasi berbasis konsol tambahan, yang mengumpulkan informasi yang disimpan di browser web.

Pencuri info mengambil data dari browser (ASEC)

Lebih khusus lagi, malware yang dianalisis oleh ASEC dapat mencuri data berikut:

  • Kredensial akun dan riwayat penelusuran disimpan di Google Chrome, Mozilla Firefox, Internet Explorer, Opera, dan Naver Whale.
  • Informasi akun email yang disimpan di Outlook Express, MS Office Outlook, dan Windows Live Mail.
  • Nama file yang baru saja digunakan dari MS Office (PowerPoint, Excel, dan Word) dan Hancom 2010.
  • Dalam beberapa serangan, Lazarus terlihat menggunakan Jin Miner alih-alih NukeSped dengan memanfaatkan Log4Shell.

      • Karena Jin Miner adalah penambang cryptocurrency, Lazarus mungkin menggunakannya pada sistem yang kurang kritis yang ditargetkan untuk keuntungan moneter daripada spionase dunia maya.

      Sejak awal tahun, Lazarus terlihat menggunakan LoLBins dalam kampanye penargetan Windows dan aplikasi cryptocurrency berbahaya untuk menyusup ke komputer Windows dan macOS.

      Eksploitasi Log4Shell muncul di atas ini untuk menggarisbawahi berbagai taktik yang digunakan oleh kelompok peretasan dan untuk menggarisbawahi bahwa kelemahan RCE yang kritis tetap menjadi masalah keamanan yang signifikan.

      Pada bulan Maret, sebagian besar upaya eksploitasi dilakukan oleh botnet, sehingga banyak yang berasumsi bahwa penargetan berfokus pada sistem yang kurang diperhatikan dengan baik dan kurang penting.

      Pada bulan April, analis keamanan mengingatkan publik bahwa permukaan serangan Log4Shell tetap besar dan akan bertahan lama karena tantangan praktis.

      Sumber: Bleeping Computer

    Situs web phishing sekarang menggunakan chatbot untuk mencuri kredensial Anda

    by

    Serangan phishing sekarang menggunakan chatbot otomatis untuk memandu pengunjung melalui proses penyerahan kredensial login mereka kepada pelaku ancaman.

    Pendekatan ini mengotomatiskan proses untuk penyerang dan memberikan rasa legitimasi kepada pengunjung situs jahat, karena chatbot biasanya ditemukan di situs web untuk merek yang sah.

    Perkembangan baru dalam serangan phishing ini ditemukan oleh para peneliti di Trustwave.

    Proses phishing dimulai dengan email yang mengklaim berisi informasi tentang pengiriman paket, menyamar sebagai merek pengiriman DHL.

    Contoh email phishing (Trustwave)

    Mengklik tombol ‘Ikuti instruksi kami’ di email memuat file PDF yang berisi tautan ke situs phishing. Pelaku ancaman menampilkan tautan phishing dalam dokumen PDF untuk melewati perangkat lunak keamanan email.

    PDF yang dapat diunduh berisi tautan berbahaya
    (gelombang kepercayaan)

    Namun, tombol URL (atau tautan) dalam PDF membawa korban ke situs phishing (dhiparcel-management[.]support-livechat[.]24mhd[.]com) tempat mereka seharusnya menyelesaikan masalah yang menyebabkan paket menjadi tidak terkirim.

    Saat halaman phishing dimuat, pengunjung akan disambut dengan obrolan web yang menjelaskan mengapa paket tidak dapat dikirimkan, alih-alih diperlihatkan formulir login palsu yang biasa digunakan untuk mencuri kredensial.

    Webchat ini menjelaskan bahwa label paket rusak, mencegah pengirimannya. Obrolan web juga menampilkan foto paket yang diduga untuk menambah legitimasi penipuan.

    Chatbot di situs phishing (Trustwave)

    Asisten virtual ini menawarkan tanggapan yang telah ditentukan sebelumnya untuk pengunjung, sehingga percakapan tetap, selalu mengarah ke foto paket yang diduga menampilkan label yang rusak.

    Karena masalah ini, chatbot meminta korban untuk memberikan informasi pribadi mereka seperti alamat rumah atau bisnis, nama lengkap, nomor telepon, dll.

    Setelah itu, pengiriman seharusnya dijadwalkan, dan langkah CAPTCHA palsu ditampilkan untuk bertindak sebagai satu lagi pengiriman legitimasi palsu ke halaman phishing.

    Selanjutnya, korban diarahkan ke halaman phishing yang mengharuskan memasukkan kredensial akun DHL dan akhirnya, mengarah ke langkah pembayaran, yang seharusnya untuk menutupi biaya pengiriman.

    Halaman “Pembayaran Aman” terakhir berisi bidang pembayaran kartu kredit biasa, termasuk nama pemegang kartu, nomor kartu, tanggal kedaluwarsa, dan kode CVV.

    Bidang pembayaran kartu kredit (Trustwave)

    Ketika rincian dimasukkan dan tombol “Bayar Sekarang” diklik, korban menerima kata sandi satu kali (OTP) pada nomor ponsel yang diberikan melalui SMS, yang menambah rasa legitimasi.

    Layar verifikasi kata sandi satu kali (Trustwave)

    Analis Trustwave menguji memasukkan karakter acak, dan sistem mengembalikan kesalahan tentang kode keamanan yang tidak valid, sehingga implementasi verifikasi OTP adalah nyata.

    Jika kode yang dimasukkan benar, halaman palsu menampilkan “Terima kasih!” pesan dan mengkonfirmasi bahwa kiriman telah diterima.

    Pelaku ancaman semakin menggunakan mekanisme yang umumnya ditemukan di situs web nyata, seperti CAPTCHA, OTP, dan sekarang bahkan chatbot, sehingga menyulitkan korban untuk menemukan upaya untuk mencuri informasi mereka.

    Ini memerlukan kewaspadaan yang lebih besar saat menerima komunikasi yang tidak diminta yang meminta tindakan segera Anda, terutama jika pesan ini berisi tombol yang disematkan dan tautan URL.

    Jika DHL atau layanan pengiriman lainnya memerlukan tindakan Anda, Anda harus selalu membuka situs web yang sebenarnya di tab browser baru alih-alih mengklik tautan yang disediakan.

    Cara terbaik untuk menemukan halaman phishing adalah dengan memeriksa URL situs web tersebut. Jika terlihat mencurigakan atau tidak cocok dengan domain yang sah, jangan masukkan informasi pribadi apa pun ke dalam halaman.

    Dalam hal ini, URL DHL palsu diakhiri dengan domain “24mhd.com,” yang jelas-jelas bukan situs web DHL dan merupakan tanda yang jelas dari upaya phishing.

    Sumber: Bleeping Computer

    Conti ransomware menutup operasi, mengubah citra menjadi unit yang lebih kecil

    by

    Geng Conti ransomware yang terkenal telah secara resmi menutup operasi mereka, dengan infrastruktur dimatikan dan para pemimpin tim diberitahu bahwa merek tersebut tidak ada lagi.

    Berita ini datang dari Intel Lanjutan Yelisey Boguslavskiy, yang men-tweet sore ini bahwa infrastruktur internal geng dimatikan.

    Boguslavskiy mengatakan bahwa infrastruktur yang diambil offline termasuk situs web Tor yang digunakan oleh anggota untuk melakukan negosiasi dan mempublikasikan “berita” di situs kebocoran data mereka. Selain itu, layanan internal lainnya, seperti server obrolan roket mereka, sedang dinonaktifkan.

    Meskipun mungkin aneh bagi Conti untuk menutup di tengah perang informasi mereka dengan Kosta Rika, Boguslavskiy memberi tahu kita bahwa Conti melakukan serangan yang sangat umum ini untuk membuat fasad operasi langsung sementara anggota Conti perlahan-lahan bermigrasi ke ransomware lain yang lebih kecil operasi.

    Conti mengancam pemerintah Kosta Rika
    Sumber: BleepingComputer

    Sementara merek ransomware Conti tidak ada lagi, sindikat kejahatan dunia maya akan terus memainkan peran penting dalam industri ransomware untuk waktu yang lama.

    Boguslavskiy mengatakan alih-alih mengubah citra sebagai operasi ransomware besar lainnya, kepemimpinan Conti malah bermitra dengan geng ransomware kecil lainnya untuk melakukan serangan.

    Di bawah kemitraan ini, geng ransomware yang lebih kecil mendapatkan masuknya Conti pentester, negosiator, dan operator yang berpengalaman. Sindikat kejahatan dunia maya Conti memperoleh mobilitas dan penghindaran yang lebih besar dari penegakan hukum dengan memecah menjadi “sel-sel” yang lebih kecil, semuanya dikelola oleh kepemimpinan pusat.

    Laporan Advanced Intel menjelaskan bahwa Conti telah bermitra dengan banyak operasi ransomware terkenal, termasuk HelloKitty, AvosLocker, Hive, BlackCat, BlackByte, dan banyak lagi.

    Anggota Conti yang ada, termasuk negosiator, analis intel, pentester, dan pengembang, tersebar di seluruh operasi ransomware lainnya. Sementara para anggota ini sekarang akan menggunakan enkripsi dan situs negosiasi operasi ransomware lainnya, mereka masih menjadi bagian dari sindikat kejahatan dunia maya Conti yang lebih besar.

    Pecahnya kelompok semi-otonom dan otonom yang lebih kecil ini diilustrasikan pada gambar di bawah yang dibagikan oleh Intel Lanjutan.

    Anggota Conti menyebar ke operasi ransomware lainnya
    Sumber: Intel Tingkat Lanjut

    Advanced Intel juga menyatakan bahwa grup otonom baru dari anggota Conti telah dibuat yang berfokus sepenuhnya pada eksfiltrasi data dan bukan enkripsi data. Beberapa dari grup ini termasuk Karakurt, BlackByte, dan kolektif Bazarcall.

    Inisiatif ini memungkinkan sindikat kejahatan dunia maya yang ada untuk terus beroperasi tetapi tidak lagi dengan nama Conti.

    Rebranding Conti tidak mengejutkan para peneliti dan jurnalis yang telah mengikuti mereka selama beberapa bulan terakhir, jika bukan beberapa tahun terakhir.

    Operasi ransomware Conti diluncurkan pada musim panas 2020, setelah menggantikan ransomware Ryuk.

    Seperti Ryuk, Conti didistribusikan melalui kemitraan dengan infeksi malware lainnya, seperti TrickBot dan BazarLoader, yang menyediakan akses awal ke geng ransomware.

    Seiring waktu, Conti tumbuh menjadi operasi ransomware terbesar, perlahan berubah menjadi sindikat kejahatan dunia maya saat mereka mengambil alih operasi TrickBot, BazarLoader, dan Emotet.

    Conti bertanggung jawab atas banyak serangan selama masa mereka, termasuk serangan terhadap Kota Tulsa, Sekolah Umum Kabupaten Broward, dan Advantech.

    Mereka mendapat perhatian media yang luas setelah mereka menyerang Eksekutif Layanan Kesehatan Irlandia (HSE) dan Departemen Kesehatan (DoH), mematikan sistem TI negara itu selama berminggu-minggu.

    Pada akhirnya, geng ransomware menyediakan decryptor gratis untuk HSE Irlandia, tetapi pada saat itu, mereka berada di garis bidik penegakan hukum di seluruh dunia.

    Namun, tidak sampai Conti memihak invasi Rusia ke Ukraina bahwa merek Conti menjadi sangat beracun dan nasib mereka disegel.

    Conti berpihak pada Rusia atas invasi ke Ukraina
    Sumber: BleepingComputer

    Setelah memihak Rusia, seorang peneliti keamanan Ukraina mulai membocorkan lebih dari 170.000 percakapan obrolan internal antara anggota geng ransomware Conti dan kode sumber untuk enkripsi ransomware Conti.

    Setelah kode sumber ini menjadi publik, pelaku ancaman lain mulai menggunakannya dalam serangan mereka sendiri, dengan satu kelompok peretas menggunakan encryptor Conti dalam serangan terhadap entitas Rusia.

    Pemerintah AS menganggap Conti sebagai salah satu jenis ransomware paling mahal yang pernah dibuat, dengan ribuan korban dan pembayaran tebusan lebih dari $150 juta.

    Eksploitasi geng ransomware Conti telah membuat pemerintah AS menawarkan hadiah hingga $15.000.000 untuk identifikasi dan lokasi anggota Conti dalam peran kepemimpinan.

    Sumber: Bleeping Computer

    CISA Mengeluarkan Arahan Darurat Ketika Kerentanan Dunia Maya ‘Kritis’ Muncul

    by

    Cybersecurity and Infrastructure Security Agency mengeluarkan arahan darurat baru hari ini yang mengatakan kerentanan di VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager menempatkan jaringan federal dan sistem dengan risiko langsung.

    “Kerentanan ini menimbulkan risiko yang tidak dapat diterima untuk keamanan jaringan federal,” kata Direktur CISA Jen Easterly dalam rilisnya. “CISA telah mengeluarkan Arahan Darurat ini untuk memastikan bahwa badan-badan sipil federal mengambil tindakan segera untuk melindungi jaringan mereka. Kami juga sangat mendesak setiap organisasi — besar dan kecil — untuk mengikuti langkah pemerintah federal dan mengambil langkah serupa untuk melindungi jaringan mereka.”

    CISA mengatakan VMware pertama kali menemukan kerentanan baru pada bulan April dan merilis tambalan, tetapi ini adalah yang baru yang perlu segera dimitigasi oleh agensi. CISA mengatakan eksposur cyber baru adalah “injeksi template sisi server yang dapat mengakibatkan eksekusi kode jarak jauh; tingkatkan hak istimewa ke ‘root;’ dan dapatkan akses administratif tanpa perlu mengautentikasi.”

    VMware menyebut kerentanan “kritis” dalam sebuah posting di situs webnya, memberikan skor 9,8 dari 10.

    VMware juga mengeluarkan patch untuk kerentanan baru hari ini.

    Dalam arahan darurat terbaru ini, CISA percaya bahwa kerentanan terhadap sistem agensi sangat mengerikan sehingga membutuhkan tindakan segera.

    Sumber: Federal News Network

    Kegigihan Membuahkan Hasil: Peretas Menyerang Tanpa File di Server SQL Menggunakan Utilitas Bawaan

    by

    Microsoft pada hari Selasa memperingatkan bahwa mereka baru-baru ini melihat kampanye jahat yang menargetkan SQL Server yang memanfaatkan biner PowerShell bawaan untuk mencapai kegigihan pada sistem yang disusupi.

    Intrusi yang memanfaatkan serangan brute-force sebagai vektor kompromi awal, menonjol karena penggunaan utilitas “sqlps.exe.”

    Tujuan akhir dari kampanye tidak diketahui, begitu juga identitas aktor ancaman yang mementaskannya. Microsoft melacak malware dengan nama “SuspSQLUsage.”

    Utilitas sqlps.exe, yang datang secara default dengan semua versi SQL Server, memungkinkan Agen SQL — layanan Windows untuk menjalankan tugas terjadwal — untuk menjalankan pekerjaan menggunakan subsistem PowerShell.

    “Para penyerang mencapai ketekunan tanpa file dengan memunculkan utilitas sqlps.exe, pembungkus PowerShell untuk menjalankan cmdlet yang dibuat SQL, untuk menjalankan perintah pengintaian dan mengubah mode mulai layanan SQL ke LocalSystem,” Microsoft mencatat.

    Selain itu, penyerang juga telah diamati menggunakan modul yang sama untuk membuat akun baru dengan peran sysadmin, yang secara efektif memungkinkan untuk mengambil kendali atas SQL Server.

    Ini bukan pertama kalinya aktor ancaman mempersenjatai binari sah yang sudah ada di lingkungan, teknik yang disebut living-off-the-land (LotL), untuk mencapai tujuan jahat mereka.

    Keuntungan yang ditawarkan oleh serangan semacam itu adalah bahwa mereka cenderung tanpa file karena tidak meninggalkan artefak apa pun dan aktivitasnya cenderung tidak ditandai oleh perangkat lunak antivirus karena mereka menggunakan perangkat lunak tepercaya.

    Idenya adalah untuk memungkinkan penyerang untuk berbaur dengan aktivitas jaringan biasa dan tugas administratif normal, sambil tetap tersembunyi untuk waktu yang lama.

    “Penggunaan biner hidup-off-the-land (LOLBin) yang tidak biasa ini menyoroti pentingnya mendapatkan visibilitas penuh ke dalam perilaku runtime skrip untuk mengekspos kode berbahaya,” kata Microsoft.

    Sumber: The Hacker News