Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware Medusa Bergabung dengan Jaringan Distribusi Android Flubot

by

Flubot, spyware Android yang telah menyebar secara viral sejak tahun lalu, telah meningkatkan infrastrukturnya ke ancaman seluler lain yang dikenal sebagai Medusa.

Malware Flubot (alias Cabassous) dikirimkan ke target melalui teks SMS yang meminta mereka untuk menginstal aplikasi “pengiriman paket yang tidak terjawab” atau versi Flash Player palsu. Jika korban tertipu, malware diinstal, kemudian menambahkan perangkat yang terinfeksi ke botnet, setelah itu mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai informasi pribadi.

Rupanya, Medusa menyukai potongan jib Flubot: “Kecerdasan ancaman kami menunjukkan bahwa Medusa mengikuti dengan nama aplikasi, nama paket, dan ikon serupa yang persis sama,” catat peneliti ThreatFabric dalam analisis hari Senin. “Dalam waktu kurang dari sebulan, pendekatan distribusi ini memungkinkan Medusa menjangkau lebih dari 1.500 perangkat yang terinfeksi dalam satu botnet, menyamar sebagai DHL.”

Tidak seperti Flubot, yang terutama menyebar di Eropa, Medusa lebih merupakan ancaman dengan peluang yang sama dalam hal geografi. Kampanye terbaru menargetkan pengguna dari Kanada, Turki, dan Amerika Serikat.

“Setelah menargetkan organisasi keuangan Turki pada periode pertama kegiatannya pada tahun 2020, Medusa kini telah mengalihkan fokusnya ke Amerika Utara dan Eropa, yang menghasilkan [a] sejumlah besar perangkat yang terinfeksi,” catat peneliti ThreatFabric. “Didukung dengan beberapa fitur akses jarak jauh, Medusa menimbulkan ancaman kritis bagi organisasi keuangan di wilayah yang ditargetkan.”

Pertama kali ditemukan pada Juli 2020, Medusa (terkait dengan keluarga Tanglebot dari RAT) adalah trojan mobile banking yang dapat memperoleh kontrol hampir penuh atas perangkat pengguna, termasuk kemampuan untuk keylogging, aktivitas trojan perbankan, dan streaming audio dan video. Untuk boot, ia telah menerima beberapa pembaruan dan peningkatan dalam teknik pengaburannya saat ia melompat pada coattails infrastruktur Flubot, kata para peneliti.

Pertama, ia sekarang memiliki mesin skrip aksesibilitas yang memungkinkan aktor untuk melakukan serangkaian tindakan atas nama korban, dengan bantuan Layanan Aksesibilitas Android.

Pencatatan peristiwa aksesibilitas adalah peningkatan pendamping ke yang di atas. Dengan perintah khusus, Medusa dapat mengumpulkan informasi tentang jendela aktif, termasuk posisi bidang dan elemen tertentu dalam antarmuka pengguna, teks apa pun di dalam elemen tersebut, dan apakah bidang tersebut adalah bidang kata sandi.

Cuplikan berikut menunjukkan kode yang mengumpulkan informasi jendela aktif melalui node-nya:

Selanjutnya, dalam memeriksa panel back-end Medusa, peneliti mengamati operator malware yang menandai aplikasi perbankan dengan tag “BANK”, untuk mengontrol/mencatat bidang input.

Server perintah-dan-kontrol (C2) juga dapat memerintahkan Medusa untuk melakukan berbagai macam pekerjaan RAT, termasuk mengklik elemen UI tertentu, tidur, screenshot, mengunci layar, menyediakan daftar aplikasi terbaru dan membuka pemberitahuan terbaru. .

Flubot Mengembangkan Kemampuannya
Para peneliti juga memperhatikan bahwa penambahan Medusa ke dalam campuran tidak memperlambat pengembangan Flubot sendiri. Mereka menjelaskan bahwa sekarang memiliki “kemampuan baru yang belum pernah terlihat sebelumnya di malware mobile banking.”

Intinya: Dalam versi 5.4, Medusa mengambil kemampuan untuk menyalahgunakan fitur “Pemberitahuan Balasan Langsung” dari OS Android, yang memungkinkan malware untuk langsung membalas pemberitahuan push dari aplikasi yang ditargetkan pada perangkat korban. Pengguna tidak menyadari aktivitas tersebut, sehingga Flubot dapat mencegat mereka – membuka pintu untuk menggagalkan otentikasi dua faktor dan banyak lagi, kata para peneliti.

Potensi penyalahgunaan lain dari fungsi ini adalah untuk menanggapi interaksi aplikasi sosial dengan “pemberitahuan” yang berisi tautan phishing berbahaya.

Sumber : Threat Post

Mozilla memperbaiki bug Firefox yang memungkinkan Anda mendapatkan hak istimewa admin Windows

by

Mozilla merilis pembaruan keamanan untuk mengatasi kerentanan eskalasi hak istimewa tingkat keparahan tinggi yang ditemukan di Layanan Mozilla Maintenance.

Layanan Mozilla Maintenance adalah layanan Firefox dan Thunderbird opsional yang memungkinkan pembaruan aplikasi di latar belakang.

Ini memberi pengguna Firefox pengalaman pembaruan tanpa batas di mana mereka tidak lagi diharuskan mengklik ‘Ya’ di dialog Windows User Account Control (UAC) sebelum memperbarui web browser atau klien email mereka.

Mozilla memperbaiki kelemahan keamanan eskalasi hak istimewa yang dilacak sebagai CVE-2022-22753 hari ini, dengan merilis Firefox 97.

Eksploitasi yang berhasil pada sistem yang tidak ditambal dapat membuat penyerang meningkatkan hak istimewa mereka ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows).

Mozilla juga mengatakan bahwa Firefox 97 mengatasi beberapa bug keamanan memori yang ditemukan oleh pengembang dan komunitas Mozilla di Firefox 96 dan Firefox ESR 91.5.

Rilis hari ini juga hadir dengan fitur-fitur baru seperti dukungan untuk gaya baru scrollbar di Windows 11 dan perbaikan, termasuk peningkatan pemuatan font sistem macOS yang membuat pembukaan dan peralihan ke tab baru lebih cepat.

Selengkapnya: Bleeping Computer

LockBit, BlackCat, Swissport, Astaga! Aktivitas Ransomware Tetap Kuat

by

Penegakan hukum, eksekutif C-suite, dan komunitas keamanan telah fokus untuk menghentikan rentetan serangan ransomware. Namun meskipun demikian, langkah-langkah terbaru dari geng LockBit 2.0 dan BlackCat, ditambah pukulan akhir pekan ini di perusahaan logistik darat bandara Swissport, menunjukkan momok masih jauh dari selesai.

Kelompok ransomware telah meningkatkan lebih sedikit serangan dengan permintaan ransomware yang lebih tinggi, Coveware telah melaporkan, menemukan bahwa rata-rata pembayaran ransomware pada kuartal keempat tahun lalu naik 130 persen mencapai $322.168 . Demikian juga, Coveware menemukan lonjakan 63 persen dalam pembayaran tebusan rata-rata, hingga $117.116.

“Pergeseran taktis melibatkan upaya yang disengaja untuk memeras perusahaan yang cukup besar untuk membayar sejumlah uang tebusan ‘permainan besar’ tetapi cukup kecil untuk menjaga biaya operasi serangan dan mengakibatkan perhatian media dan penegakan hukum tetap rendah.”

Grup yang Ingin Menurunkan Profilnya
“Proporsi perusahaan yang diserang dalam ukuran 1.000 hingga 10.000 karyawan meningkat dari 8 persen di Q3 menjadi 14 persen di Q4,” para peneliti menemukan. “Pembayaran tebusan rata-rata hanya dalam ember karyawan ini jauh di utara satu juta dolar, yang menyeret jumlah rata-rata dan median Q4 lebih tinggi.”

Rebranding BlackCat, Ancaman Pemerasan Tiga Kali
BlackCat, juga dikenal sebagai ALPHV, operasi RaaS pemula, sedang meningkat dan dengan cepat merekrut afiliasi, menurut Graham Cluley dari Tripwire kelompok tersebut telah mulai menambahkan tekanan bagi korban mereka untuk membayar dengan tidak hanya mencuri data mereka dan mengancam akan merilisnya, tetapi juga menjanjikan penolakan layanan (DDoS) yang melumpuhkan jika mereka menolak untuk membayar taktik ransomware yang dikenal sebagai “pemerasan tiga kali lipat.”

Pertama kali ditemukan oleh MalwareHunterTeam, operator ransomware BlackCat berkode Rust menyebut diri mereka ALPHV, tetapi MalwareHunterTeam menjuluki mereka BlackCat setelah gambar yang digunakan pada halaman pembayaran yang harus dikunjungi korban di Tor untuk membayar. Laporan tersebut juga mengkonfirmasi bahwa BlackCat pada dasarnya adalah merek ulang, menambahkan anggota grup telah mengonfirmasi bahwa mereka adalah anggota grup BlackMatter/DarkSide sebelumnya.

LockBit 2.0 adalah kelompok lain yang menambahkan tekanan pada korbannya untuk membayar dengan ancaman untuk merilis data pelanggan perusahaan dan itu juga tidak terlalu rendah.

LockBit 2.0 baru-baru ini mengambil kredit untuk melanggar platform pertukaran cryptocurrency playbito.com, pemburu ancaman DarkTracer tweeted. Peneliti juga memposting peringatan dari LockBit2.0 bahwa grup tersebut akan mempublikasikan data pribadi lebih dari 100.000 pengguna platform kecuali uang tebusan dibayarkan pada 21 Februari.

“FBI mencari informasi apa pun yang dapat dibagikan, untuk memasukkan log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, contoh catatan tebusan, komunikasi dengan pelaku ancaman, informasi dompet Bitcoin, file dekripsi, dan/atau sampel jinak. dari file terenkripsi,” kata peringatan FBI, menambahkan bahwa departemen tidak mendorong pembayaran uang tebusan, tetapi memahami keputusan bisnis perlu dibuat untuk menjaga operasi tetap berjalan.

Serangan Swissport: Ransomware Masih Kuat
Selama akhir pekan, Swissport dijatuhkan oleh serangan ransomware yang menyebabkan penundaan 22 penerbangan dari Zurich, Swiss, menurut juru bicara bandara yang berbicara dengan Der Speigel.

Penelitian terbaru dari Trellix menunjukkan bahwa bergerak maju pada tahun 2022, layanan keuangan akan dibombardir dengan serangan ransomware. Dari kuartal kedua hingga ketiga tahun 2021, serangan terhadap sektor keuangan dan asuransi meningkat sebesar 21 persen, diikuti oleh peningkatan hanya 7 persen pada serangan perawatan kesehatan, catat perusahaan itu.

Sumber : Threat Post

Google memperbaiki eskalasi bug hak istimewa jarak jauh di Android

by

Google telah merilis pembaruan keamanan Android Februari 2022, mengatasi dua kerentanan kritis, salah satunya adalah eskalasi hak istimewa jarak jauh yang tidak memerlukan interaksi pengguna.

Kerentanan dilacak sebagai CVE-2021-39675, membawa peringkat keparahan “kritis”, dan hanya memengaruhi Android 12, versi terbaru dari OS Android.

Kelemahan ini biasanya dimanfaatkan oleh vendor spyware canggih yang secara independen menemukan dan secara pribadi menggunakan zero-days dalam sistem operasi seluler. Namun, dalam kasus ini, Google belum melihat tanda-tanda eksploitasi aktif.

Cacat kritis kedua yang diatasi oleh pembaruan keamanan Februari 2022 adalah CVE-2021-30317, yang memengaruhi komponen sumber tertutup Qualcomm, dan dengan demikian hanya menyangkut perangkat Android yang menggunakan perangkat keras vendor tersebut.

Detail teknis tentang kerentanan tidak tersedia saat ini, karena pembaruan Android biasanya memerlukan beberapa bulan untuk mencapai persentase basis pengguna yang terhormat, mengingat vendor perlu menggabungkannya secara terpisah untuk setiap model perangkat.

Akhirnya, perbaikan yang datang dengan pembaruan bulan ini menyangkut Android 10, 11, dan 12, jadi jika ponsel Anda menjalankan versi yang lebih lama dari itu, Anda tidak lagi dilindungi, dan Anda harus menganggap perangkat Anda kekurangan keamanan.

Sumber: Bleeping Computer

Microsoft Patch Tuesday Bulaan Februari 2022 Memperbaiki 48 Kelemahan, 1 zero-day

by

Microsoft telah merilis Patch Tuesday bulan Februari 2022, dan dengan itu datang perbaikan untuk satu kerentanan zero-day dan total 48 kelemahan.

Microsoft telah memperbaiki 48 kerentanan (tidak termasuk 22 kerentanan Microsoft Edge) dengan pembaruan hari ini, tanpa ada satupun yang diklasifikasikan sebagai Kritis.

Patch Tuesday bulan ini juga mencakup perbaikan untuk satu kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak ada kerentanan zero-day yang dieksploitasi secara aktif dalam serangan dari Patch Tuesday kali ini.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday bulan Februari 2022 adalah:

CVE-2022-21989 – Peningkatan Kerentanan Hak Istimewa Kernel Windows

Namun, karena banyak dari ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Sumber: Bleeping Computer

Peretas Tiongkok Menargetkan Lembaga Keuangan Taiwan dengan Pintu Belakang Tersembunyi yang baru

by

Sebuah kelompok ancaman persisten lanjutan (APT) China telah menargetkan lembaga keuangan Taiwan sebagai bagian dari “kampanye gigih” yang berlangsung setidaknya selama 18 bulan.

Penyusupantersebut bertujuan pionase, mengakibatkan penyebaran pintu belakang yang disebut xPack, yang memberikan kontrol ekstensif kepada musuh atas mesin yang disusupi, kata Symantec milik Broadcom dalam sebuah laporan yang diterbitkan minggu lalu.

Apa yang penting dari kampanye ini adalah jumlah waktu aktor ancaman mengintai di jaringan korban, memberikan operator banyak kesempatan untuk pengintaian rinci dan menggali informasi yang berpotensi sensitif yang berkaitan dengan kontak bisnis dan investasi tanpa menaikkan bendera merah apapun.

Di salah satu organisasi keuangan yang tidak disebutkan namanya, para penyerang menghabiskan hampir 250 hari antara Desember 2020 dan Agustus 2021, sementara entitas manufaktur memiliki jaringannya di bawah pengawasan mereka selama sekitar 175 hari.

Meskipun vektor akses awal yang digunakan untuk menembus target masih belum jelas, diduga Antlion memanfaatkan kelemahan aplikasi web untuk mendapatkan pijakan dan menjatuhkan pintu belakang khusus xPack, yang digunakan untuk menjalankan perintah sistem, menghapus malware dan alat berikutnya, dan tahap data untuk eksfiltrasi.

Selain itu, aktor ancaman menggunakan pemuat kustom berbasis C++ serta kombinasi alat yang sah seperti AnyDesk dan teknik living-off-the-land (LotL) untuk mendapatkan akses jarak jauh, membuang kredensial, dan mengeksekusi arbitrer perintah.

Temuan ini menambah daftar kelompok negara-bangsa terkait China yang telah menargetkan Taiwan dalam beberapa bulan terakhir, dengan aktivitas siber jahat yang dipasang oleh aktor ancaman yang dilacak saat Tropic Trooper dan Earth Lusca menyerang lembaga pemerintah, perawatan kesehatan, transportasi, dan pendidikan di negara.

Sumber : The Hacker News

Microsoft: Malware Mac ini semakin pintar dan berbahaya

by

Microsoft telah merinci evolusi malware Mac yang relatif baru yang disebut UpdateAgent yang mulai mencuri informasi sistem pada akhir 2020 tetapi telah berubah menjadi alat untuk mengirimkan adware dan kemungkinan ancaman lainnya.

Salah satu fitur UpdateAgent terbaru dan paling ampuh adalah kemampuan untuk melewati sistem Gatekeeper bawaan Apple yang dimaksudkan untuk memungkinkan hanya aplikasi yang tepercaya dan ditandatangani untuk berjalan di Mac.

Microsoft menandai malware itu sekarang karena tampaknya sedang dalam pengembangan berkelanjutan. Saat ini, ia memasang ancaman adware “yang persisten luar biasa” yang disebut Adload, tetapi Microsoft memperingatkan bahwa itu dapat digunakan untuk mendistribusikan muatan lain yang lebih berbahaya di masa mendatang. Misalnya, Microsoft menemukan pembuatnya meng-host muatan tambahan di layanan S3 dan CloudFront Amazon Web Services.

Meskipun memang mengharuskan korban untuk menginstal aplikasi yang menyamar sebagai perangkat lunak yang sah, seperti aplikasi video atau agen dukungan yang dipromosikan dalam pop-up iklan, kemampuan untuk melewati kontrol Gatekeeper sangat penting. Itu juga dapat menggunakan izin pengguna yang ada untuk menghapus bukti keberadaannya di sistem.

Selengkapnya: ZDNet

Argo CD merilis patch untuk kerentanan zero-day

by

Argo CD merilis patch minggu ini untuk kerentanan zero-day yang memungkinkan penyerang mengakses informasi sensitif seperti kata sandi dan kunci API.

Kerentanan ditemukan oleh tim Riset Keamanan Apiiro dan dijelaskan dalam posting blog yang dirilis bersamaan dengan tambalan.

Argo CD adalah platform Pengiriman Berkelanjutan open source yang populer, dan kerentanan — ditandai sebagai CVE-2022-24348 dengan skor CVSS 7,7 — “memungkinkan aktor jahat memuat file Kubernetes Helm Chart YAML ke kerentanan dan ‘melompat’ dari ekosistem aplikasi mereka ke data aplikasi lain di luar cakupan pengguna.”

Para aktor kemudian dapat membaca dan mengekstrak data yang berada di aplikasi lain, menurut Apiiro.

Di GitHub, perusahaan tersebut mengatakan semua versi CD Argo rentan terhadap bug traversal jalur dan mencatat bahwa “mungkin untuk membuat paket bagan Helm khusus yang berisi file nilai yang sebenarnya merupakan tautan simbolik, menunjuk ke file arbitrer di luar direktori root repositori. ”

“Jika penyerang dengan izin untuk membuat atau memperbarui Aplikasi mengetahui atau dapat menebak jalur lengkap ke file yang berisi YAML yang valid, mereka dapat membuat bagan Helm berbahaya untuk menggunakan YAML itu sebagai file nilai, sehingga mendapatkan akses ke data yang seharusnya tidak mereka miliki. akses,” jelas Argo CD.

“Dampaknya terutama bisa menjadi kritis di lingkungan yang menggunakan file nilai terenkripsi (misalnya menggunakan plugin dengan git-crypt atau SOPS) yang berisi data sensitif atau rahasia, dan mendekripsi rahasia ini ke disk sebelum merender grafik Helm. Juga, karena kesalahan apa pun pesan dari templat helm diteruskan kembali ke pengguna, dan pesan kesalahan ini cukup bertele-tele, penghitungan file pada sistem file server repositori dimungkinkan.”

Selengkapnya: ZDNet