News 188 - Naga Cyber Defense

Kode Open-Source Melakukan Sabotase untuk Menghapus Komputer Rusia dan Belarusia

March 20, 2022 by Søren

Seorang teknolog dan pengelola perangkat lunak open source yang populer telah dengan sengaja menyabotase kode mereka sendiri untuk menghapus data pada komputer yang menggunakan program tersebut di Rusia dan Belarusia, dan telah menghadapi reaksi balasan besar-besaran karena melakukannya, menurut pesan yang diposting di repositori pengkodean Github .

Berita tersebut menandakan potensi kerugian dari hacktivisme digital, dengan langkah tersebut kemungkinan berdampak pada orang-orang biasa yang menggunakan kode tersebut.

RIAEvangelist adalah pengelola perangkat lunak yang disebut “node-ipc,” alat jaringan yang terkadang diunduh lebih dari satu juta kali seminggu. RIAEvangelist merilis dua modul yang disebut “peacenotwar” dan “oneday-test” baru-baru ini, Bleeping Computer melaporkan pada hari Kamis. Peacenotwar, yang oleh RIAEvangelist digambarkan sebagai “protestware”, kemudian dimasukkan sebagai dependensi dalam kode node-ipc, yang berarti beberapa versi node-ipc mungkin dibundel dengan peacenotwar.

“Kode ini berfungsi sebagai contoh non-destruktif mengapa mengontrol modul pada node penting. Ini juga berfungsi sebagai protes tanpa kekerasan terhadap agresi Rusia yang mengancam dunia saat ini. Modul ini akan menambahkan pesan perdamaian di desktop pengguna Anda, dan hanya akan melakukannya jika belum ada hanya untuk bersikap sopan,” tulis RIAEvangelist dalam deskripsi untuk kode peacenotwar. Deskripsi RIAEvangelist juga menjelaskan bagaimana orang lain dapat menambahkan modul ke kode mereka untuk mengambil bagian dalam protes digital.

Selengkapnya: VICE

Malware Cyclops Blink menginfeksi router ASUS

March 20, 2022 by Søren

Malware Cyclops Blink telah menginfeksi router ASUS dalam apa yang dikatakan Trend Micro sebagai upaya untuk mengubah perangkat yang disusupi ini menjadi server perintah dan kontrol untuk serangan di masa mendatang.

ASUS mengatakan sedang mengerjakan perbaikan untuk Cyclops Blink dan akan memposting pembaruan perangkat lunak jika perlu. Pembuat perangkat keras merekomendasikan pengguna untuk mengatur ulang gateway mereka ke pengaturan pabrik untuk menghapus konfigurasi apa pun yang ditambahkan oleh penyusup, mengubah kata sandi login, memastikan akses manajemen jarak jauh dari WAN dinonaktifkan, dan memastikan firmware terbaru diinstal agar aman.

Peringatan Trend Micro tentang pembajakan router mengikuti nasihat bersama bulan lalu dari FBI, CISA, Departemen Kehakiman AS, dan Pusat Keamanan Siber Nasional Inggris tentang Cyclops Blink, yang menurut agensi tampaknya merupakan pengganti Sandworm untuk VPNFilter. Pada saat itu, botnet mengincar peralatan firewall WatchGuard.

“Data kami juga menunjukkan bahwa meskipun Cyclops Blink adalah botnet yang disponsori negara, server C&C dan botnya memengaruhi perangkat WatchGuard Firebox dan Asus yang bukan milik organisasi penting, atau yang memiliki nilai nyata dalam spionase ekonomi, politik, atau militer. ,” kata Trend Micro. “Oleh karena itu, kami percaya bahwa ada kemungkinan bahwa tujuan utama botnet Cyclops Blink adalah untuk membangun infrastruktur untuk serangan lebih lanjut terhadap target bernilai tinggi.”

Selengkapnya: The Register

IOTW: Badan-badan AS memperingatkan tentang ancaman dunia maya terhadap komunikasi satelit

March 20, 2022 by Søren

Badan Keamanan Siber dan Infrastruktur (CISA) AS dan Biro Investigasi Federal (FBI) mengeluarkan peringatan terkait ancaman terhadap jaringan komunikasi satelit AS dan internasional (SATCOM) pada 17 Maret 2022.

Ini menyusul serangan terhadap operator satelit komersial Viasat, yang menyebabkan pemadaman sebagian jaringan KA-SAT di Eropa. SATCOM sangat penting selama masa peperangan.

KA-SAT menyediakan internet broadband ke pasar Eropa dan Mediterania. Layanan ini diluncurkan pada Mei 2011.

Menurut NetBlocks, sebuah kelompok pemantau internet, jaringan KA-SAT operator satelit tetap terkena dampak parah pada 15 Maret 2022, 18 hari setelah menjadi sasaran serangan siber.

Ini adalah salah satu dari “beberapa insiden” yang diamati kelompok itu ketika Rusia meluncurkan invasi ke Ukraina pada 24 Februari 2022.

Pada 11 Maret 2022, Reuters melaporkan bahwa Badan Keamanan Nasional AS, organisasi keamanan siber pemerintah Prancis, dan intelijen Ukraina sedang menyelidiki sabotase jarak jauh dari “layanan penyedia internet satelit” yang mereka katakan adalah “pekerjaan peretas yang didukung negara Rusia untuk mempersiapkan medan perang dengan mencoba memutuskan komunikasi”.

Sebuah pernyataan dari ViaSat menyatakan bahwa gangguan itu disebabkan oleh peristiwa siber yang disengaja, terisolasi dan eksternal – tidak ada rincian lain yang diungkapkan.

Selengkapnya: CSHub

Botnet DirtyMoe Mendapatkan Eksploitasi Baru di Modul Wormable untuk Menyebar dengan Cepat

March 20, 2022 by Søren

Malware yang dikenal sebagai DirtyMoe telah memperoleh kemampuan propagasi seperti worm baru yang memungkinkannya memperluas jangkauannya tanpa memerlukan interaksi pengguna apa pun, menurut penelitian terbaru.

“Modul worming menargetkan kerentanan lama yang terkenal, misalnya, eskalasi hak istimewa EternalBlue dan Hot Potato Windows,” kata peneliti Avast Martin Chlumecký dalam sebuah laporan yang diterbitkan Rabu.

“Satu modul worm dapat menghasilkan dan menyerang ratusan ribu alamat IP pribadi dan publik per hari; banyak korban dalam bahaya karena banyak mesin masih menggunakan sistem yang belum ditambal atau kata sandi yang lemah.”

“Tujuan utama modul worming adalah untuk mencapai RCE di bawah hak administrator dan menginstal instance DirtyMoe baru,” jelas Chlumecký, menambahkan salah satu fungsi inti komponen adalah untuk menghasilkan daftar alamat IP yang akan diserang berdasarkan lokasi geologis modul.

Selain itu, modul worming dalam pengembangan lainnya ditemukan berisi eksploitasi yang menargetkan PHP, Java Deserialisasi, dan Oracle Weblogic Server, menyiratkan bahwa penyerang ingin memperluas cakupan infeksi.

“IP target worming dihasilkan menggunakan algoritme yang dirancang dengan cerdik yang menghasilkan alamat IP secara merata di seluruh dunia dan terkait dengan lokasi geologis modul worming,” kata Chlumecký. “Selain itu, modul menargetkan jaringan lokal/rumah. Karena itu, IP publik dan bahkan jaringan pribadi di belakang firewall berisiko.”

Selengkapnya: The Hacker News

Dirty Pipe: Apa itu, apakah ponsel saya terpengaruh, apa yang sedang dilakukan untuk memperbaikinya, dan apakah saya perlu mengkhawatirkannya?

March 18, 2022 by Eevee

Apa itu “Pipa Kotor?”
Dirty Pipe adalah nama yang diberikan untuk kerentanan CVE-2022-0847, yang ada di kernel Linux versi 5.8 dan yang lebih baru. Peneliti menemukan masalah tersebut melalui apa yang dianggap sebagai bug yang menyebabkan log akses pada mesin rusak sebentar-sebentar.

Pemeriksaan menunjukkan bahwa masalah tersebut dapat digunakan sebagai eksploitasi yang sangat serius. Kerentanan memungkinkan data disuntikkan ke file arbitrer karena cara kernel Linux membaca, menulis, dan meneruskan data melalui apa yang disebut “pipa”.

Karena pada dasarnya semua yang ada di Linux adalah “file”, dan karena Dirty Pipe dapat secara selektif mengubah data dalam file apa pun (baik secara langsung atau melalui cara file dibaca melalui cache), itu berarti penyerang dapat menggunakan exploit untuk memodifikasi file sistem. Aktor dapat menggunakan exploit Dirty Pipe untuk menyuntikkan kode arbitrer untuk dijalankan oleh proses yang diistimewakan. Kode itu kemudian dapat digunakan untuk semua jenis aplikasi potensial, seperti memberikan izin root ke perangkat lunak lain dan memodifikasi sistem tanpa otorisasi.

Dalam istilah yang kurang teknis, Dirty Pipe adalah kerentanan di Linux yang memungkinkan aplikasi jahat mengontrol sistem hampir penuh, dan itu menakutkan.

Untuk memulai, Dirty Pipe hanya memengaruhi perangkat Android yang menjalankan kernel Linux versi 5.8 dan yang lebih baru. Tidak ada daftar lengkap ponsel yang terkait dengan versi kernel Linux tertentu, tetapi banyak ponsel Android “hidup” pada versi kernel tertentu sepanjang hidup mereka. Kernel 5.8 dirilis pada tahun 2020, tetapi perangkat Android tidak mulai menerima versi yang lebih baru sampai rilis Android 12. Gambar Kernel Generik sedikit memperumit ini, tetapi hanya Pixel 6 dan 6 Pro yang menggunakannya, dan perangkat konsumen menggunakan versi kernel setelah 5.8 juga tidak debut hingga Android 12.

Singkatnya, jika ponsel Anda diluncurkan dengan Android 11 atau lebih lama, Anda aman dari Dirty Pipe, dan bahkan jika Anda memutakhirkan ke Android 12, tidak ada alasan untuk khawatir. Itu berarti sebagian besar ponsel dari tahun 2021 dan sebelumnya tidak terpengaruh. Namun, beberapa ponsel yang lebih baru terpengaruh.

Kita tahu seri Pixel 6, Pixel 6 Pro, dan Samsung Galaxy S22 dipengaruhi oleh Dirty Pipe. Android Police secara terpisah mengonfirmasi bahwa Xiaomi 12 Pro menjalankan versi kernel Linux yang terpengaruh. Qualcomm telah mengkonfirmasi kepada kami bahwa dari semua chipsetnya, hanya Snapdragon 8 Gen 1 yang mungkin menggunakan kernel yang terpengaruh. Semua perangkat keras lainnya seharusnya tidak terpengaruh.

Jika Anda khawatir tentang apakah ponsel Anda rentan terhadap Pipa Kotor, hingga semuanya ditambal, pemeriksaan itu mudah, tetapi tidak selalu sederhana. Versi kernel harus terdaftar di suatu tempat di aplikasi Pengaturan ponsel Anda, tetapi perusahaan yang berbeda meletakkannya di tempat yang berbeda (dan beberapa bahkan menamainya secara berbeda). Yang perlu Anda perhatikan untuk saat ini adalah dua digit pertama untuk kernel.

Ikuti langkah-langkah di bawah ini untuk menemukan versi kernel untuk Google Pixel, OnePlus (menjalankan Oxygen OS 12 atau lebih baru), dan ponsel Samsung Galaxy:

Ponsel Samsung Galaxy
Ketuk Pengaturan → Tentang telepon → Informasi perangkat lunak.
Ponsel Google Pixel
Pilih Pengaturan → Tentang ponsel → Versi Android.
Ponsel OnePlus
Buka Pengaturan → Tentang perangkat → Versi.

Jika Anda memiliki telepon dari pabrikan yang berbeda, cukup ketik “kernel” di bilah pencarian Pengaturan. Meskipun mungkin masih tidak muncul di semua perangkat, ini adalah cara cepat dan mudah untuk mengakses informasi dalam banyak kasus, termasuk untuk perangkat yang tidak tercakup di atas.

Ingat, jika beberapa digit pertama versi kernel ponsel Anda lebih rendah dari 5,8, Anda aman.

Sumber : Android Police

Apakah geng Trickbot membajak router Anda? Pemindai ini mungkin punya jawaban

March 18, 2022 by Eevee

Microsoft telah menerbitkan alat yang memindai dan mendeteksi perangkat Internet-of-Things yang didukung MikroTik yang telah dibajak oleh geng Trickbot.

Pemindai open-source muncul setelah penyelidikan oleh tim peneliti Redmond’s Defender for IoT tentang bagaimana kru malware jahat mengambil alih router MikroTik dan mengaturnya untuk menyalurkan komunikasi ke dan dari komputer yang terinfeksi Trickbot di jaringan dan server backend penjahat.

Tim keamanan Microsoft menguraikan bagaimana penjahat berkompromi dengan perangkat MikroTik untuk memperkuat komunikasi C2 Trickbot. Geng pertama-tama harus memperoleh kredensial untuk gateway, dan menurut Microsoft ia melakukan ini melalui berbagai metode termasuk menggunakan kata sandi MikroTik default dan meluncurkan serangan brute force.

Atau mereka dapat mengeksploitasi CVE-2018-14847 pada perangkat yang menjalankan versi RouterOS yang lebih lama dari 6.42. Ini memungkinkan penyerang untuk membaca file arbitrer seperti user.dat, yang berisi kata sandi, Microsoft menjelaskan.

Penjahat kemudian mengubah kata sandi router untuk mempertahankan akses, dan kemudian menggunakan perangkat yang disusupi untuk mengirim perintah ke sistem beracun Trickbot di jaringan agar mereka menjalankan ransomware, menambang koin, mencuri atau menghapus data, dan sebagainya.

Microsoft mencatat bahwa lalu lintas C2 yang dialihkan diterima dari port 449 port Trickbot yang dikenal dan dialihkan melalui port 80.

Pemindai terhubung ke perangkat MikroTik dan mencari aturan konfigurasi pengalihan lalu lintas dan perubahan port, di antara indikator Trickbot lainnya. Jika Anda ingin mencari sendiri, tanpa menggunakan kode Microsoft, atau memerlukan saran tentang apa yang harus dilakukan jika Anda merasa router Anda telah disusupi, Redmond menawarkan ini:

Jalankan perintah berikut [pada router] untuk mendeteksi apakah aturan NAT diterapkan ke perangkat (dilengkapi oleh alat juga):

/ip firewall nat print

Jika ada data berikut, ini mungkin mengindikasikan infeksi:

rantai=dstnat action=dst-nat ke-alamat=

ke-port=80 protokol=tcp dst-address=

rantai=srcnat action=masquerade src-address=

Jalankan perintah berikut untuk menghapus aturan NAT yang berpotensi berbahaya:

/ip firewall nat menghapus angka=

Tips nomor satu untuk melindungi dari serangan Trickbot di masa depan: tetap ditambal, dan gunakan kata sandi yang kuat bukan kata sandi default MikroTik.

Sumber : The Register

Scammers memiliki 2 cara baru yang cerdas untuk menginstal aplikasi berbahaya di perangkat iOS

March 18, 2022 by Eevee

Scammers meningkatkan permainan mereka dengan menyalahgunakan dua fitur Apple yang sah untuk melewati persyaratan pemeriksaan App Store dan menipu orang agar menginstal aplikasi berbahaya.

Apple telah lama mengharuskan aplikasi lulus tinjauan keamanan dan diterima di App Store sebelum dapat diinstal di iPhone dan iPad. Pemeriksaan mencegah aplikasi jahat masuk ke perangkat, di mana mereka kemudian dapat mencuri cryptocurrency dan kata sandi atau melakukan aktivitas jahat lainnya.

Perusahaan keamanan Sophos menyoroti dua metode baru yang digunakan dalam kampanye kejahatan terorganisir yang dijuluki CryptoRom, yang mendorong aplikasi cryptocurrency palsu ke pengguna iOS dan Android yang tidak curiga. Sementara Android mengizinkan aplikasi “sideloading” dari pasar pihak ketiga, Apple mengharuskan aplikasi iOS datang dari App Store, setelah mereka menjalani tinjauan keamanan menyeluruh.

Masuk ke TestFlight, platform yang disediakan Apple untuk pengujian beta aplikasi baru. Dengan menginstal aplikasi TestFlight Apple dari App Store, setiap pengguna iOS dapat mengunduh dan menginstal aplikasi yang belum lulus proses pemeriksaan. Setelah TestFlight diinstal, pengguna dapat mengunduh aplikasi yang belum diperiksa menggunakan tautan yang dipublikasikan penyerang di situs penipuan atau email.

Posting hari Rabu menunjukkan beberapa gambar yang digunakan dalam kampanye CryptoRom. Pengguna iOS yang mengambil umpan menerima tautan yang, ketika diklik, menyebabkan aplikasi TestFlight mengunduh dan menginstal aplikasi cryptocurrency palsu.

Chandraiah mengatakan bahwa vektor TestFlight memberi penyerang keuntungan yang tidak tersedia dengan teknik bypass App Store yang lebih terkenal yang juga menyalahgunakan fitur Apple yang sah. Salah satu fitur tersebut adalah platform Super Signature Apple, yang memungkinkan orang menggunakan akun pengembang Apple mereka untuk mengirimkan aplikasi secara ad hoc terbatas. Fitur lainnya adalah Program Perusahaan Pengembang perusahaan. Ini memungkinkan organisasi besar menyebarkan aplikasi berpemilik untuk penggunaan internal tanpa karyawan harus menggunakan App Store.

Sebaliknya, Chandraiah berkata, TestFlight:

[TestFlight] lebih disukai oleh pengembang aplikasi jahat dalam beberapa kasus daripada Super Signature atau Enterprise Signature karena sedikit lebih murah dan terlihat lebih sah ketika didistribusikan dengan Apple Test Flight App. Proses review juga diyakini tidak seketat review App Store.

Posting tersebut mengatakan scammer CryptoRom menggunakan fitur Apple kedua untuk menyamarkan aktivitas mereka. Fitur itu—dikenal sebagai Klip Web—menambahkan tautan halaman web langsung ke layar beranda iPhone dalam bentuk ikon yang dapat disalahartikan sebagai aplikasi jinak. Klip Web muncul setelah pengguna menyimpan tautan Web.

Peneliti Sophos mengatakan CryptoRom dapat menggunakan Klip Web untuk menambahkan pengaruh ke URL jahat yang mendorong aplikasi palsu.

Penipu CryptoRom sangat bergantung pada rekayasa sosial. Mereka menggunakan berbagai tipu muslihat untuk membangun hubungan dengan target meski tidak pernah bertatap muka. Jejaring sosial, situs kencan, dan aplikasi kencan termasuk di antara tipu muslihat tersebut. Dalam kasus lain, penipu memulai hubungan melalui “pesan WhatsApp yang tampaknya acak yang menawarkan tip investasi dan perdagangan kepada penerima.”

Penyalahgunaan TestFlight dan Web Clips kemungkinan akan terlihat oleh pengguna Internet yang cerdas, tetapi orang yang kurang berpengalaman mungkin akan tertipu. Pengguna iOS harus tetap berhati-hati terhadap situs, email, atau pesan apa pun yang menginstruksikan mereka untuk mengunduh aplikasi dari sumber selain App Store resmi.

Sumber : Arstechnica

Botnet Linux baru mengeksploitasi Log4J, menggunakan tunneling DNS untuk komunikasi

March 16, 2022 by Eevee

Botnet yang baru-baru ini ditemukan dalam pengembangan aktif menargetkan sistem Linux, mencoba menjerat mereka menjadi pasukan bot yang siap mencuri info sensitif, menginstal rootkit, membuat cangkang terbalik, dan bertindak sebagai proxy lalu lintas web.

Malware yang baru ditemukan, dijuluki B1txor20 oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), memfokuskan serangannya pada perangkat arsitektur CPU Linux ARM, X64.

Para peneliti pertama kali melihat botnet B1txor20 pada 9 Februari ketika sampel pertama terjebak oleh salah satu sistem honeypot mereka.

Secara keseluruhan, mereka menangkap total empat sampel malware, dengan backdoor, proxy SOCKS5, pengunduhan malware, pencurian data, eksekusi perintah arbitrer, dan fungsionalitas pemasangan rootkit.

Namun, yang membuat malware B1txor20 menonjol adalah penggunaan tunneling DNS untuk saluran komunikasi dengan server command-and-control (C2), teknik lama namun masih andal yang digunakan oleh pelaku ancaman untuk mengeksploitasi protokol DNS untuk melakukan tunnel malware dan data. melalui kueri DNS.

“Setelah menerima permintaan, C2 mengirimkan muatan ke sisi Bot sebagai tanggapan atas permintaan DNS. Dengan cara ini, Bot dan C2 mencapai komunikasi dengan bantuan protokol DNS.”

Peneliti 360 Netlab juga menemukan bahwa meskipun pengembang malware menyertakan serangkaian fitur yang lebih luas, tidak semuanya diaktifkan.

Informasi tambahan, termasuk indikator kompromi (IOCs) dan daftar semua instruksi C2 yang didukung, dapat ditemukan di akhir laporan 360 Netlab.

“Sejak kerentanan Log4J terungkap, kami melihat semakin banyak malware yang muncul, Elknot, Gafgyt, Mirai semuanya terlalu familiar,” tambah peneliti 360 Netlab.

Misalnya, pada bulan Desember, mereka melihat pelaku ancaman mengeksploitasi kelemahan keamanan Log4J untuk menginfeksi perangkat Linux yang rentan dengan malware Mirai dan Muhstik Linux.

Botnet ini terlihat “merekrut” perangkat dan server IoT dan menggunakannya untuk menyebarkan penambang kripto dan melakukan serangan DDoS skala besar.

Barracuda mengkonfirmasi laporan 360 Netlan awal bulan ini, dengan mengatakan mereka melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, dengan varian botnet Mirai dimanfaatkan untuk DDoS dan cryptomining mengambil bagian terbesar.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings