Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

RIG Exploit Kit menjatuhkan malware RedLine melalui bug Internet Explorer

by

Analis ancaman telah menemukan kampanye baru yang menggunakan RIG Exploit Kit untuk mengirimkan malware pencuri RedLine.

Exploit kits (EKs) telah menurun drastis popularitasnya karena mereka menargetkan kerentanan di browser web yang diperkenalkan oleh perangkat lunak plug-in seperti Flash Player dan Microsoft Sillverlight yang sekarang sudah tidak berfungsi.

Seiring dengan semakin amannya browser web dan memperkenalkan pembaruan otomatis untuk semua komponennya atau menggantinya dengan standar modern, penggunaan EK untuk mendistribusikan malware telah menurun hingga menjadi hal yang jarang ditemui akhir-akhir ini.

Kampanye yang baru-baru ini diselidiki yang mengandalkan RIG EK memanfaatkan CVE-2021-26411, kerentanan Internet Explorer yang menyebabkan kerusakan memori saat melihat situs web yang dibuat secara khusus.

Pelaku ancaman menggunakan eksploit untuk mengkompromikan mesin dan menyebarkan RedLine, malware pencuri informasi yang murah namun kuat yang beredar luas di forum berbahasa Rusia.

Dari sana, musuh menggali detail pengguna yang sensitif seperti kunci dompet cryptocurrency, detail kartu kredit, dan kredensial akun yang disimpan di browser web.

Sesuai dengan namanya, RIG EK menyertakan serangkaian eksploitasi untuk mengotomatiskan intrusi jaringan dengan melakukan eksekusi shellcode yang diperlukan pada target.

Ini telah digunakan secara luas dalam berbagai kampanye sejak 2016. Popularitasnya memuncak pada 2018 dan 2019 untuk menyebarkan berbagai malware, termasuk ransomware seperti Nemty, Sodinokibi/REvil, Buran, dan Eris.

Itu pernah lebih disukai daripada kit lain karena menggabungkan teknologi yang berbeda seperti JavaScript, VBScript, DoSWF, dan lainnya, yang digunakan untuk pengemasan, kebingungan, dan eksekusi.

Saat ini, RIG Exploit telah kehilangan status prestisiusnya tetapi beberapa pelaku ancaman masih merasa berguna untuk mengirimkan malware, seperti yang terjadi tahun lalu, ketika menjatuhkan malware WastedLoader.

Kampanye baru-baru ini ditemukan oleh para peneliti di Bitdefender, yang menemukan bahwa RIG EK menggabungkan CVE-2021-26411 untuk memulai proses infeksi yang menyelundupkan salinan pencuri RedLine ke target dalam bentuk kemasan.

Menjatuhkan muatan pada sistem target (Bitdefender)

Eksploitasi menciptakan proses baris perintah baru yang menjatuhkan file JavaScript di direktori sementara, yang pada gilirannya mengunduh muatan terenkripsi RC4 kedua dan meluncurkannya.

Pembongkaran pencuri RedLine adalah proses enam tahap yang terdiri dari dekompresi, pengambilan kunci, dekripsi runtime, dan tindakan perakitan. File DLL yang dihasilkan tidak pernah menyentuh memori disk untuk menghindari deteksi AV.

Tahap kedua membongkar muatan (Bitdefender)

Setelah RedLine terbentuk pada mesin yang disusupi sebagai .NET yang dapat dieksekusi yang dikaburkan, ia mencoba menyambung ke server C2, dalam kampanye ini, 185.215.113.121 melalui port 15386.

Komunikasi menggunakan saluran non-HTTP terenkripsi, sedangkan permintaan pertama juga melibatkan otorisasi. Permintaan kedua dijawab dengan daftar pengaturan yang menentukan tindakan apa yang akan dilakukan pada host.

Pengaturan diterima oleh C2 (Bitdefender)

Setelah itu, RedLine mulai mengumpulkan data sesuai dengan pengaturan tersebut, menargetkan serangkaian luas perangkat lunak seperti browser web, VPN, klien FTP, Discord, Telegram, Steam, dan dompet/plugin cryptocurrency.

Selain itu, RedLine mengirimkan paket informasi sistem ke C2, termasuk nama pengguna Windows dan nomor seri, daftar perangkat lunak yang diinstal, daftar proses yang berjalan, zona waktu, bahasa aktif, dan tangkapan layar.

Meskipun metode ini memerlukan tindakan pengguna dan menargetkan audiens yang lebih luas, penambahan RIG Exploit Kit mengotomatiskan proses infeksi tetapi membatasi set korban untuk mereka yang masih menjalankan versi Internet Explorer yang rentan.

Sumber: Bleeping Computer

Redis, MongoDB, dan Elastic: database terekspos teratas tahun 2022

by

Peneliti keamanan telah memperhatikan peningkatan jumlah basis data yang terbuka secara publik ke Internet, dengan 308.000 diidentifikasi pada tahun 2021. Pertumbuhan terus berlanjut dari kuartal ke kuartal, memuncak pada bulan-bulan pertama tahun ini.

Pada kuartal pertama tahun 2022, jumlah basis data yang terpapar mencapai puncaknya menjadi 91.200 instance, kata peneliti intelijen dan riset ancaman Group-IB dalam sebuah laporan.

Jumlah database yang terbuka untuk setiap kuartal (Grup-IB)

Mengekspos database di depan publik internet dalam banyak kasus karena kesalahan konfigurasi. Peretas sering memburu mereka menggunakan sistem pengindeksan mesin pencari yang dapat dijangkau dari web terbuka untuk mencuri konten atau untuk pemerasan finansial.

Group-IB menggunakan solusi Manajemen Permukaan Serangan untuk memindai seluruh ruang IPv4 untuk port terbuka yang relevan untuk mengakses database dan untuk memeriksa apakah indeks atau tabel tersedia.

Tim Bobak, Pemimpin Produk Manajemen Permukaan Serangan di Group-IB, mengatakan bahwa solusi perusahaan terbatas untuk memeriksa apakah database terbuka atau tidak dan tidak memiliki kemampuan untuk mengumpulkan atau menganalisis konten database.

Data telemetri yang dikumpulkan dengan cara ini tidak menunjukkan apakah database terbuka rentan terhadap kelemahan keamanan atau jika pihak yang tidak berwenang mengaksesnya saat terpapar di web.

Sebagian besar instans terbuka yang ditemukan oleh Group-IB berada di server yang berbasis di server AS dan China, sementara Jerman, Prancis, dan India juga memiliki persentase yang mencolok.

Peta panas instans database terbuka (Group-IB)

Ketika datang ke sistem manajemen basis data yang digunakan dalam instans yang terpapar, kebanyakan dari mereka adalah Redis, dengan hampir dua kali lipat jumlah runner-up di Q1 2022, MongoDB. Elastis menyumbang porsi yang lebih kecil yaitu masih dalam puluhan ribu, sedangkan MySQL mencatat instance paling sedikit yang terdeteksi oleh Group-IB.

Jenis sistem manajemen basis data (Group-IB)

Sistem manajemen ini telah mengambil tindakan untuk memperingatkan admin saat mereka mengonfigurasi instans untuk akses publik tanpa kata sandi, tetapi masalah tetap ada.

Tujuan basis data tidak hanya untuk menyimpan data tetapi juga memungkinkan cara langsung dan nyaman untuk berbagi data ini, analisisnya oleh anggota tim lainnya.

Semakin banyak orang yang terlibat dalam proses manajemen basis data akhir-akhir ini, dan pada akhirnya mereka mencoba untuk memudahkan dan mempercepat akses jadi mengabaikan proses masuk seringkali merupakan cara yang paling mudah dan jelas bagi mereka.

Sayangnya, admin membutuhkan waktu rata-rata 170 hari untuk menyadari kesalahan konfigurasi dan memperbaiki masalah eksposur, yang lebih dari cukup bagi aktor jahat untuk menemukan instance dan menyedot kontennya.

Waktu yang dibutuhkan untuk memperbaiki kesalahan konfigurasi (Group-IB)

Paparan data tidak hanya menyebabkan hilangnya kepercayaan pelanggan dan gangguan bisnis, tetapi juga denda besar yang dikenakan oleh kantor perlindungan data karena kegagalan mengamankan informasi klien yang sensitif.

Bobak Grup-IB mencatat bahwa sebagian besar masalah yang mengganggu keamanan basis data dapat dengan mudah dicegah.

Tahun lalu, lebih dari 50% keterlibatan respons insiden kami berasal dari kesalahan keamanan berbasis perimeter yang dapat dicegah. Basis data yang menghadap publik, port terbuka, atau instans cloud yang menjalankan perangkat lunak yang rentan semuanya merupakan risiko penting tetapi pada akhirnya dapat dihindari. Karena kompleksitas jaringan perusahaan terus berkembang, semua perusahaan harus memiliki visibilitas lengkap atas permukaan serangan mereka. – Tim Bobak, Grup-IB

Keamanan basis data dapat dipastikan jika admin mengikuti langkah-langkah penting tertentu saat menyiapkan instans dan setelah sesi pemeliharaan. Ini dapat diringkas sebagai berikut: Selengkapnya

Sumber: Bleeping Computer

Microsoft menemukan kelemahan desktop Linux yang memberikan root kepada pengguna yang tidak tepercaya

by

Microsoft menemukan kerentanan yang memudahkan orang-orang yang memiliki akses di banyak sistem desktop Linux untuk mendapatkan hak sistem root, peningkatan terbaru dari kelemahan hak istimewa yang terungkap di OS open source.

Karena sistem operasi telah dikeraskan untuk menahan kompromi dalam beberapa tahun terakhir, kerentanan elevasi hak istimewa (EoP) telah menjadi unsur penting bagi sebagian besar peretasan yang sukses.

Mereka dapat dieksploitasi bersama dengan kerentanan lain yang sering dianggap kurang parah, mereka memberikan akses lokal dan yang pertama meningkatkan akses root. Dari sana, musuh dengan akses fisik atau hak sistem terbatas dapat menyebarkan pintu belakang atau mengeksekusi kode pilihan mereka.

Nimbuspwn, seperti yang disebut Microsoft sebagai ancaman EoP, adalah dua kerentanan yang berada di networkd-dispatcher, komponen di banyak distribusi Linux yang mengirimkan perubahan status jaringan dan dapat menjalankan berbagai skrip untuk merespons status baru.

Cacat, dilacak sebagai CVE-2022-29799 dan CVE-2022-29800, menggabungkan ancaman termasuk traversal direktori, balapan symlink, dan kondisi balapan time-of-check time-of-use (TOCTOU). Setelah meninjau kode sumber Networkd -dispatcher, peneliti Microsoft Jonathan Bar Or memperhatikan bahwa komponen yang dikenal sebagai “_run_hooks_for_state” mengimplementasikan logika berikut:

Daftar daftar skrip yang tersedia dengan menjalankan metode “get_script_list”, yang memanggil metode “scripts_in_path” terpisah yang dimaksudkan untuk mengembalikan semua file yang disimpan di direktori “/etc/networkd-dispatcher/.d”.

Run_hooks_for_state membiarkan sistem Linux terbuka untuk kerentanan direktori-traversal, yang ditetapkan sebagai CVE-2022-29799, karena tidak ada fungsi yang digunakannya secara memadai membersihkan status yang digunakan untuk membangun jalur skrip yang tepat dari input berbahaya. Peretas dapat mengeksploitasi kelemahan untuk keluar dari direktori dasar “/etc/networkd-dispatcher”.

Run-hooks_for_state berisi cacat terpisah, CVE-2022-29800, yang membuat sistem rentan terhadap kondisi balapan TOCTOU karena ada waktu tertentu antara skrip ditemukan dan skrip dijalankan.

Musuh dapat mengeksploitasi kerentanan yang terakhir ini untuk mengganti skrip yang diyakini networkd-dispatcher dimiliki oleh root dengan skrip jahat pilihan musuh. Untuk memastikan Linux mengeksekusi skrip berbahaya yang disediakan peretas daripada skrip yang sah, peretas menanam beberapa skrip hingga akhirnya berhasil.

Seorang peretas dengan akses minimal ke desktop yang rentan dapat menyatukan eksploitasi untuk kerentanan ini yang memberikan akses root penuh.

Untuk mendapatkan akses root yang persisten, peneliti menggunakan alur eksploit untuk membuat pintu belakang. Proses untuk ini adalah:

Salin /bin/sh ke /tmp/sh.
Mengubah /tmp/sh baru menjadi biner Set-UID (SUID)
Jalankan /tmp/sh -p. Bendera “-p” diperlukan karena cangkang modern menjatuhkan hak istimewa berdasarkan desain.

Eksploitasi proof-of-concept hanya berfungsi jika dapat menggunakan nama bus “org.freedesktop.network1”. Peneliti menemukan beberapa lingkungan di mana ini terjadi, termasuk Linux Mint, di mana systemd-networkd secara default tidak memiliki nama bus org.freedodesktop.network1 saat boot.

Peneliti juga menemukan beberapa proses yang berjalan sebagai pengguna jaringan systemd, yang diizinkan untuk menggunakan nama bus yang diperlukan untuk menjalankan kode arbitrer dari lokasi yang dapat ditulis di dunia. Proses yang rentan mencakup beberapa plugin gpgv, yang diluncurkan saat apt-get menginstal atau meningkatkan, dan Erlang Port Mapper Daemon, yang memungkinkan menjalankan kode arbitrer dalam beberapa skenario.

Kerentanan telah ditambal di networkd-dispatcher, meskipun tidak segera jelas kapan atau dalam versi apa, dan upaya untuk menjangkau pengembang tidak segera berhasil. Orang yang menggunakan versi Linux yang rentan harus menambal sistem mereka sesegera mungkin.

Sumber : Arstechnica

Malware Emotet sekarang diinstal melalui PowerShell di file pintasan Windows

by

Botnet Emotet sekarang menggunakan file pintasan Windows (.LNK) yang berisi perintah PowerShell untuk menginfeksi komputer korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default.

Penggunaan file .LNK bukanlah hal baru, karena geng Emotet sebelumnya menggunakannya dalam kombinasi dengan kode Visual Basic Script (VBS) untuk membuat perintah yang mengunduh payload. Namun, ini adalah pertama kalinya mereka menggunakan pintasan Windows untuk menjalankan perintah PowerShell secara langsung.

Jumat lalu, operator Emotet menghentikan kampanye phishing karena mereka merusak penginstal mereka setelah menggunakan nama file statis untuk merujuk pintasan .LNK yang berbahaya.

Meluncurkan pintasan akan memicu perintah yang mengekstrak string kode VBS dan menambahkannya ke file VBS untuk dieksekusi.

Namun, karena file pintasan terdistribusi memiliki nama yang berbeda dari nama statis yang mereka cari, file VBS akan gagal dibuat dengan benar. Geng memperbaiki masalah kemarin.

Hari ini, peneliti keamanan memperhatikan bahwa Emotet beralih ke teknik baru yang menggunakan perintah PowerShell yang dilampirkan ke file LNK untuk mengunduh dan menjalankan skrip di komputer yang terinfeksi.

String berbahaya yang ditambahkan ke file .LNK dikaburkan dan diisi dengan nol (spasi kosong) sehingga tidak ditampilkan di bidang target (file yang ditunjuk pintasan) dari kotak dialog properti file.

sumber: BleepingComputer

File .LNK berbahaya Emotet menyertakan URL untuk beberapa situs web yang disusupi yang digunakan untuk menyimpan muatan skrip PowerShell. Jika skrip ada di salah satu lokasi yang ditentukan, skrip diunduh ke folder sementara sistem sebagai skrip PowerShell dengan nama acak.

Di bawah ini adalah versi deobfuscate dari string berbahaya Emotet yang dilampirkan ke payload .LNK:

sumber: BleepingComputer

Skrip ini menghasilkan dan meluncurkan skrip PowerShell lain yang mengunduh malware Emotet dari daftar situs yang disusupi dan menyimpannya ke folder %Temp%. DLL yang diunduh kemudian dieksekusi menggunakan perintah regsvr32.exe.

Eksekusi skrip PowerShell dilakukan menggunakan utilitas baris perintah Regsvr32.exe dan diakhiri dengan mengunduh dan meluncurkan malware Emotet.

Kelompok peneliti Cryptolaemus, yang memantau secara dekat aktivitas Emotet, mencatat bahwa teknik baru ini merupakan upaya yang jelas dari aktor ancaman untuk melewati pertahanan dan deteksi otomatis.

Peneliti keamanan di perusahaan keamanan siber ESET juga memperhatikan bahwa penggunaan teknik Emotet baru telah meningkat dalam 24 jam terakhir.

sumber: ESET

Data telemetri ESET menunjukkan bahwa negara-negara yang paling terpengaruh oleh Emotet melalui teknik baru ini adalah Meksiko, Italia, Jepang, Turki, dan Kanada.

Selain beralih ke PowerShell dalam file .LNK, operator botnet Emotet telah membuat beberapa perubahan lain sejak mereka melanjutkan aktivitas ke tingkat yang lebih stabil pada bulan November, seperti pindah ke modul 64-bit.

Sumber: Bleeping Computer

Coca-Cola menyelidiki klaim peretas tentang pelanggaran dan pencurian data

by

Coca-Cola, pembuat minuman ringan terbesar di dunia, telah mengkonfirmasi dalam sebuah pernyataan kepada BleepingComputer bahwa mereka mengetahui laporan tentang serangan siber di jaringannya dan saat ini sedang menyelidiki klaim tersebut.

Raksasa minuman Amerika telah mulai menyelidiki setelah geng Stormous mengatakan bahwa mereka berhasil menembus beberapa server perusahaan dan mencuri 161GB data.

Stormous mengumumkan viktimisasi Coca Cola

Pelaku ancaman mendaftarkan cache data untuk dijual di situs kebocoran mereka, meminta 1,65 Bitcoin, saat ini dikonversi menjadi sekitar $64,000.

Daftar Coca-Cola di situs kebocoran Stormous

Di antara file yang terdaftar, ada dokumen terkompresi, file teks dengan admin, email, dan kata sandi, arsip ZIP akun dan pembayaran, dan jenis informasi sensitif lainnya.

Meskipun mereka mengklaim sebagai grup ransomware, saat ini tidak ada indikasi bahwa mereka menyebarkan malware enkripsi file di jaringan korban mereka.

Lebih dekat dengan kelompok pemerasan data, Stormous telah menyatakan bahwa mereka akan mengambil tindakan terhadap serangan hacker terhadap Rusia setelah invasi ke Ukraina.

Pesan badai

Ini adalah pertama kalinya Stormous memposting kumpulan data yang dicuri. Pekan lalu, geng meminta pengikut mereka untuk memilih siapa yang harus menjadi korban berikutnya.

Serangan itu menjanjikan penolakan layanan, peretasan, kebocoran kode sumber perangkat lunak, dan data klien. Coca-Cola memenangkan jajak pendapat dengan 72% suara. Geng mengatakan bahwa mereka hanya butuh beberapa hari untuk menerobos perusahaan.

Jajak pendapat diadakan di Telegram Stormous

Coca-Cola dan pilihan korban lainnya dalam jajak pendapat Stormous menunjukkan sikap anti-Barat. Sebelumnya, kelompok tersebut mengklaim Epic Games sebagai korbannya.

Mereka mengumumkan bahwa mereka mencuri 200 gigabyte data dan rincian 33 juta pengguna Epic store dan game. Namun, belum ada konfirmasi tentang keabsahan data tersebut, sehingga reputasi Stormous tentang klaim ini belum ditetapkan.

Sumber: Bleeping Computer

Google Play Store sekarang memaksa aplikasi untuk mengungkapkan data apa yang dikumpulkan

by

Google meluncurkan bagian Keamanan Data baru di Play Store, repositori aplikasi resmi Android, di mana pengembang harus menyatakan data apa yang dikumpulkan perangkat lunak mereka dari pengguna aplikasi mereka.

Ini dapat membantu pengguna memutuskan apakah mereka ingin melanjutkan penginstalan.

Aplikasi yang mendeklarasikan data apa yang dikumpulkannya
(Google)

Pengembang tidak hanya akan menyatakan data apa yang mereka kumpulkan, tetapi juga data apa yang mereka bagikan dengan pihak ketiga.

Jika pengguna ingin mempelajari lebih lanjut tentang entri tertentu, mengetuk item yang sesuai akan menciutkan menu untuk mengungkapkan lebih banyak informasi tentang apa yang dikumpulkan atau dibagikan.

Melihat detail di bagian data bersama
(Google)

Pilar ketiga dari bagian Keamanan Data adalah praktik keamanan aplikasi, yang menjelaskan mekanisme keamanan yang digunakan untuk melindungi data yang dikumpulkan, seperti standar MASVS.

Bagian ketiga ini juga menjelaskan apakah pengguna diberikan opsi untuk meminta penghapusan data mereka kapan saja.

Terakhir, Keamanan Data akan menentukan apakah aplikasi mengikuti Kebijakan Keluarga Google Play, yang ditujukan untuk perlindungan anak-anak.

Google meluncurkan bagian Keamanan Data baru secara bertahap sehingga pengguna Android tidak akan segera melihat bagian baru ini tetapi selama beberapa minggu ke depan.

Google mengatakan bahwa pengembang akan memberikan informasi ini sendiri, yang tidak akan dikonfirmasi oleh Google. Namun, jika ditemukan bahwa pengembang telah salah mengartikan pengungkapan penggunaan data mereka, mereka akan diminta untuk memperbaiki informasi yang diberikan.

Kegagalan untuk melakukannya akan menyebabkan pelanggaran kebijakan, yang menyebabkan penangguhan aplikasi di Google Play Store.

Hingga saat ini, aplikasi Android di Play Store harus mencantumkan tautan ke Kebijakan Privasi mereka di bawah bagian “Informasi Tambahan” dan memberikan email kontak.

Karena kebijakan privasi ini dihosting di lokasi eksternal, kebijakan tersebut dapat dimodifikasi, mungkin tidak jelas, mungkin tidak mengungkapkan semua detail penting tentang pengumpulan dan perlindungan data, dan bahkan dapat menyebabkan tautan yang rusak.

Cara saat ini untuk mengakses info pengumpulan data (Play Store)

Selain itu, karena membaca teks besar jargon hukum bukanlah hal yang diharapkan pengguna saat menjelajahi Google Play Store untuk aplikasi baru, hampir tidak ada yang memeriksanya.

Akhirnya, karena kesulitan praktis yang timbul dari hal di atas, Google tidak mungkin memvalidasi bahwa aplikasi menghormati persyaratan yang disajikan dalam kebijakan privasi mereka.

Keamanan Data memberi pengguna pemahaman yang jelas tentang apa yang terjadi dengan data mereka tanpa mengharuskan mereka menghabiskan waktu untuk menggali ke dalam beberapa bagian, sementara itu juga memberdayakan Google dengan penegakan.

Sementara langkah Google bermanfaat bagi pengguna Android, fitur serupa yang disebut ‘Label Nutrisi Privasi’ sudah diperkenalkan oleh Apple pada tahun 2020.

Ringkasan pengumpulan data Apple TV (Apple)

Ini adalah kasus lain di mana persaingan di ruang OS seluler telah membawa perkembangan positif, memberi pengguna lebih banyak wawasan dan kontrol atas bagaimana data mereka ditangani oleh berbagai perangkat lunak yang berjalan di ponsel cerdas mereka.

Dengan banyaknya aplikasi penipuan, malware, dan aplikasi riba yang ditemukan di Google Play, bagian Keamanan Data baru ini tidak hanya akan berguna bagi pengguna Android, tetapi juga memungkinkan Google untuk menemukan pelanggar kebijakan dengan lebih cepat.

Sumber: Bleeping Computer

Peretas mengeksploitasi kelemahan penting VMware RCE untuk memasang pintu belakang

by

Peretas tingkat lanjut secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE), CVE-2022-22954, yang memengaruhi VMware Workspace ONE Access (sebelumnya disebut VMware Identity Manager).

Masalah ini telah diatasi dalam pembaruan keamanan 20 hari yang lalu bersama dengan dua RCE lainnya – CVE-2022-22957 dan CVE-2022-22958 yang juga memengaruhi VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Segera setelah pengungkapan kelemahan tersebut kepada publik, kode eksploitasi bukti konsep (PoC) muncul di ruang publik, memungkinkan peretas memanfaatkan untuk menargetkan penyebaran produk VMware yang rentan. VMware mengkonfirmasi eksploitasi CVE-2022-22954 di alam liar.

Sekarang, para peneliti di Morphisec melaporkan melihat eksploitasi dari aktor ancaman persisten tingkat lanjut (APT), khususnya kelompok peretasan Iran yang dilacak sebagai APT35, alias “Rocket Kitten.”

Musuh mendapatkan akses awal ke lingkungan dengan mengeksploitasi CVE-2022-22954, satu-satunya di trio RCE yang tidak memerlukan akses administratif ke server target dan juga memiliki eksploitasi PoC yang tersedia untuk umum.

Serangan dimulai dengan mengeksekusi perintah PowerShell pada layanan yang rentan (Identity Manager), yang meluncurkan stager.

Stager kemudian mengambil pemuat PowerTrash dari server perintah dan kontrol (C2) dalam bentuk yang sangat dikaburkan dan memuat agen Dampak Inti ke dalam memori sistem.

Aliran serangan APT35 (Morphisec)

Core Impact adalah alat pengujian penetrasi yang sah yang disalahgunakan untuk tujuan jahat dalam kasus ini, mirip dengan bagaimana Cobalt Strike digunakan dalam kampanye jahat.

“Penelitian Morphisec mengamati penyerang yang sudah mengeksploitasi kerentanan ini (CVE-2022-22954) untuk meluncurkan backdoor HTTPS terbalik—terutama Cobalt Strike, Metasploit, atau Core Impact beacon” – Morphisec

CTO Morphisec Michael Gorelik mengatakan bahwa penyerang mencoba gerakan lateral pada jaringan, meskipun pintu belakang dihentikan.

Morphisec dapat mengambil alamat C2 server stager, versi klien Core Impact, dan kunci enkripsi 256-bit yang digunakan untuk komunikasi C2, dan akhirnya menghubungkan operasi tersebut dengan orang tertentu bernama Ivan Neculiti dan sebuah perusahaan bernama Stark Industries.

Beberapa perusahaan dalam database paparan penipuan yang mencantumkan nama Neculiti sebagai rekanan atau penerima manfaat. Basis data tersebut mencakup perusahaan hosting yang diduga mendukung situs web ilegal yang digunakan dalam kampanye spam dan phishing.

Pembaruan [26 April, 12:04]: BleepingComputer menerima pernyataan dari P.Q. Hosting S.R.L., yang berkantor pusat di Moldova dan perusahaan induk Stark Industries, menolak keterlibatan mereka yang disengaja dalam kegiatan ilegal:

Sumber: Bleeping Computer

Atlassian Mengatasi Cacat Bypass Otentikasi Jira yang Kritis

by

Atlassian memperbaiki kelemahan kritis dalam perangkat lunak Jira, dilacak sebagai CVE-2022-0540, yang dapat dieksploitasi untuk melewati otentikasi.

Atlassian telah mengatasi kerentanan kritis dalam perangkat lunak Jira Seraph-nya, dilacak sebagai CVE-2022-0540 (skor CVSS 9,9), yang dapat dieksploitasi oleh penyerang yang tidak diautentikasi untuk melewati otentikasi. Aktor ancaman dapat memicu kerentanan dengan mengirimkan permintaan HTTP yang dibuat khusus ke perangkat lunak yang rentan.

Masalah ini memengaruhi Server Atlassian Jira dan versi Pusat Data sebelum 8.13.18 sampai versi lebih baru sebelum 8.22.0. Cacat ini juga berdampak pada Service Management Server Atlassian Jira dan versi Data Center sebelum 4.13.18sampai versi yang lebih baru sebelum 4.22.0.

Perusahaan juga memberikan mitigasi bagi pengguna yang tidak dapat menginstal versi tetap Jira atau Jira Service Management dan menggunakan aplikasi yang terpengaruh. Aplikasi merekomendasikan pengguna untuk memperbarui aplikasi yang terpengaruh ke versi yang tidak terpengaruh.

Pelanggan juga dapat mengurangi risiko keamanan dengan menonaktifkan aplikasi hingga mereka dapat menginstal versi tetap Jira atau Jira Service Management.

Sumber: Security Affairs