Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Jutaan Router Serta Perangkat IoT Beresiko Saat Kode Sumber Malware Muncul di GitHub

by

Penulis sampel malware berbahaya yang menargetkan jutaan router dan perangkat Internet of Things (IoT) telah mengunggah kode sumbernya ke GitHub, artinya penjahat lain sekarang dapat menggunakannya atau dengan cepat membuat varian baru dari alat tersebut, dalam kampanye serangan mereka sendiri.

Para peneliti di AT&T Alien Labs pertama kali melihat malware tersebut November lalu dan menamakannya “BotenaGo”. Malware ini dikemas dengan eksploitasi untuk lebih dari 30 kerentanan yang berbeda dalam produk dari beberapa vendor, termasuk Linksys, D-Link, Netgear, dan ZTE.

BotenaGo dirancang untuk mengeksekusi perintah shell jarak jauh pada sistem yang terpengaruh. Vendor keamanan juga menemukan bahwa tautan muatan BotenaGo mirip dengan yang digunakan oleh operator malware botnet Mirai yang terkenal.

Untuk alasan yang tidak jelas, pembuat malware yang tidak dikenal baru-baru ini membuat kode sumber BotenaGo tersedia untuk umum melalui GitHub.

Langkah ini berpotensi menghasilkan peningkatan yang signifikan dalam varian BotenaGo karena pembuat malware lain dapat menggunakan dan mengadaptasi kode sumber untuk tujuan khusus pada kampanye serangan mereka, kata Alien Labs dalam sebuah blog minggu ini.

Malware BotenaGo hanya terdiri dari 2.891 baris kode, menjadikannya titik awal yang berpotensi baik untuk beberapa varian baru. Fakta bahwa ia hadir dengan eksploitasi untuk lebih dari 30 kerentanan di beberapa router dan perangkat IoT adalah faktor lain yang mungkin dianggap menarik oleh pembuat malware.

Selengkapnya: Dark Reading

Peretas Lazarus menggunakan Pembaruan Windows untuk menyebarkan malware

by

Grup peretasan yang didukung Korea Utara, Lazarus, menambahkan klien Pembaruan Windows ke daftar binari yang hidup di luar negeri (LoLBins) dan sekarang secara aktif menggunakannya untuk mengeksekusi kode berbahaya pada sistem Windows.

Metode penyebaran malware baru ditemukan oleh tim Malwarebytes Threat Intelligence saat menganalisis kampanye spearphishing Januari yang meniru perusahaan keamanan dan kedirgantaraan Amerika Lockheed Martin.

Setelah korban membuka lampiran berbahaya dan mengaktifkan eksekusi makro, makro yang disematkan menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll) di folder Windows/System32 yang tersembunyi.

Kemudian file LNK digunakan untuk meluncurkan klien WSUS / Pembaruan Windows (wuauclt.exe) untuk menjalankan perintah yang memuat DLL berbahaya penyerang.

Para peneliti menghubungkan serangan ini dengan Lazarus berdasarkan beberapa bukti, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penargetan yang serupa dengan kampanye sebelumnya.

Aliran serangan (Malwarebytes)

Taktik ini ditemukan oleh peneliti MDSec David Middlehurst, yang menemukan bahwa penyerang dapat menggunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya pada sistem Windows 10.

Ini dapat dilakukan dengan memuat DLL yang dibuat secara khusus menggunakan opsi baris perintah berikut (perintah yang digunakan Lazarus untuk memuat muatan berbahayanya):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITER ATT&CK mengklasifikasikan jenis strategi penghindaran pertahanan ini sebagai Signed Binary Proxy Execution, dan memungkinkan penyerang untuk melewati perangkat lunak keamanan, kontrol aplikasi, dan perlindungan validasi sertifikat digital.

Pelaku ancaman mengeksekusi kode berbahaya dari DLL berbahaya yang dijatuhkan sebelumnya, dimuat menggunakan biner bertanda tangan klien Pembaruan Windows.

Grup Lazarus (juga dilacak sebagai HIDDEN COBRA oleh agen intel AS) adalah grup peretas militer Korea Utara yang aktif selama lebih dari satu dekade, setidaknya sejak 2009.

Operatornya mengoordinasikan kampanye ransomware WannaCry global 2017 dan berada di balik serangan terhadap perusahaan terkenal seperti Sony Films dan beberapa bank di seluruh dunia.

Mereka juga diamati menggunakan pintu belakang ThreatNeedle yang sebelumnya tidak terdokumentasi dalam kampanye spionase dunia maya skala besar terhadap industri pertahanan lebih dari selusin negara.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas yang disponsori DPRK (Lazarus, Bluenoroff, dan Andariel) pada September 2019, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk info tentang aktivitas Lazarus.

Sumber : Bleeping Computer

Kontraktor Apple dan Tesla Taiwan terkena ransomware Conti

by

Delta Electronics, perusahaan elektronik Taiwan dan penyedia Apple, Tesla, HP, dan Dell, mengungkapkan bahwa mereka adalah korban serangan siber yang ditemukan pada Jumat pagi.

Pada 22 Januari 2022, perusahaan mengatakan insiden itu hanya berdampak pada sistem yang tidak kritis, yang tidak berdampak signifikan pada operasinya. Platform AdvIntel “Andariel” mendeteksi serangan pada 18 Januari.

Saat ini Delta bekerja untuk memulihkan sistem yang rusak selama serangan dan mengatakan telah menyewa jasa pakar keamanan pihak ketiga untuk membantu penyelidikan dan proses pemulihan.

Sementara pernyataan Delta tidak mengatakan siapa yang berada di balik serangan itu, sebuah perusahaan keamanan informasi yang dirahasiakan menemukan sampel ransomware Conti yang disebarkan di jaringan perusahaan, seperti yang dilaporkan pertama kali oleh CTWANT.

Catatan tebusan Delta Electronics Conti (BleepingComputer)

Menurut negosiasi antara Conti dan Delta, operator Conti mengklaim telah mengenkripsi 1.500 server dan 12.000 komputer dari sekitar 65.000 perangkat di jaringan Delta.

Geng ransomware Conti meminta Delta untuk membayar tebusan $15 juta untuk decryptor dan berhenti membocorkan file yang dicuri dari jaringannya. Juga dijanjikan diskon jika perusahaan mau membayar dengan cepat.

Sementara Delta dilaporkan masih bekerja dengan Trend dan tim keamanan Microsoft untuk menyelidiki insiden tersebut dan mengklaim bahwa produksinya tidak terpengaruh, situs webnya masih tidak aktif satu minggu setelah serangan tersebut.

Pelanggan Delta dapat menggunakan domain alternatif ini saat perusahaan menghidupkan kembali situs web utamanya, yang masih down setelah serangan ransomware, seperti yang ditemukan The Record.

“Grup Conti ransomware mengungkapkan bagian pola tertentu dari serangan Delta yang memanfaatkan Cobalt Strike dengan Atera untuk kegigihan seperti yang diungkapkan oleh visibilitas permusuhan platform kami. Tentu saja, serangan ini mengingatkan pada REvil Quanta yang memengaruhi salah satu pemasok Apple,” Vitali Kremez , CEO AdvIntel, mengatakan kepada BleepingComputer.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang terkait dengan kelompok kejahatan dunia maya Wizard Spider yang berbahasa Rusia.

Sumber : Bleeping Computer

Trojan Perbankan Chaes Membajak Chrome dengan Ekstensi Berbahaya

by

Kampanye berskala besar yang melibatkan lebih dari 800 situs wordpress yang dikompromikan menyebarkan trojan perbankan yang menargetkan kredensial pengguna e-banking Brasil.

Trojan yang digunakan dalam kampanye ini disebut ‘Chaes,’ dan menurut para peneliti dari Avast, telah aktif menyebar sejak akhir 2021.

Meskipun perusahaan keamanan memberi tahu CERT Brasil, kampanye sedang berlangsung dengan ratusan situs web masih dikompromikan dengan skrip berbahaya yang mendorong malware.

Rantai serangan

Ketika korban mengunjungi salah satu situs web yang dikompromikan, mereka disajikan dengan pop-up yang meminta mereka untuk menginstal aplikasi Java Runtime palsu.

Penginstal MSI berisi tiga file JavaScript berbahaya (install.js, sched.js, sucesso.js) yang mempersiapkan lingkungan Python untuk loader tahap berikutnya.

Skrip sched.js menambahkan kegigihan dengan membuat Tugas Terjadwal dan tautan Startup, dan sucesso.js bertanggung jawab untuk melaporkan status ke C2.

Sementara itu, skrip .js instalasi melakukan tugas-tugas berikut:

  • Periksa koneksi internet (menggunakan google.com)
  • Membuat folder %APPDATA%extensions
  • Unduh arsip yang dilindungi kata sandi seperti python32.rar/python64.rar dan unrar.exe ke folder ekstensi tersebut
  • Tulis jalur folder ekstensi yang baru dibuat ke HKEY_CURRENT_USERSoftwarePythonConfigPath
  • Melakukan beberapa profil sistem dasar
  • Jalankan perintah unrar.exe dengan kata sandi yang ditentukan sebagai argumen untuk membongkar python32.rar/python64.rar
  • Terhubung ke C2 dan unduh skrip __init__.py 32bit dan 64bit bersama dengan dua muatan terenkripsi. Setiap payload memiliki nama pseudo-random.

Rantai loader Python terbentang dalam memori dan melibatkan pemuatan beberapa skrip, shellcode, dan Delphi DLL sampai semuanya ada untuk mengeksekusi muatan akhir dalam proses Python.

Tahap akhir dilakukan dengan instruksi.js, yang mengambil ekstensi Chrome dan menginstalnya pada sistem korban. Akhirnya, semua ekstensi diluncurkan dengan argumen yang tepat.

Ekstensi Chrome

Avast mengatakan mereka telah melihat lima ekstensi browser Chrome berbahaya yang berbeda diinstal pada perangkat korban, termasuk:

  • Online – Sidik jari korban dan menulis kunci registri.
  • Mtps4 – Terhubung ke C2 dan menunggu PascalScripts yang masuk. Juga mampu menangkap tangkapan layar dan menampilkannya di layar penuh untuk menyembunyikan tugas-tugas berbahaya yang berjalan di latar belakang.
  • Chrolog – Mencuri kata sandi dari Google Chrome dengan exfiltrating database ke C2 melalui HTTP.
  • Chronodx – Trojan perbankan loader dan JS yang berjalan diam-diam di latar belakang dan menunggu peluncuran Chrome. Jika browser dibuka, ia akan segera menutupnya dan membuka kembali instance Chrome sendiri yang memungkinkan pengumpulan info perbankan.
  • Chremows – Target kredensial pasar online Mercado Libre.

Pada saat ini, kampanye Chaes masih berlangsung, dan mereka yang telah dikompromikan akan tetap berisiko bahkan jika situs web dibersihkan.

Avast mengklaim bahwa beberapa situs web yang dikompromikan disalahgunakan karena menjatuhkan muatan sangat populer di Brasil, sehingga jumlah sistem yang terinfeksi kemungkinan besar.

Sumber: Bleepingcomputer

Kampanye FluBot dan TeaBot baru Menargetkan Perangkat Android di Seluruh Dunia

by

Kampanye distribusi malware FluBot dan TeaBot baru telah terlihat, menggunakan umpan-umpan khas atau aplikasi yang dicampur terhadap pengguna Android di Australia, Jerman, Polandia, Spanyol, dan Rumania.

Topik SMS yang digunakan untuk menyebarkan malware FluBot termasuk pesan kurir palsu, “Apakah ini Anda dalam video ini?” membujuk, pembaruan browser palsu, dan pemberitahuan pesan suara palsu.

Setelah menginfeksi satu perangkat, malware menggunakan daftar kontak korban untuk mendistribusikan umpan SMS lainnya, mencapai tingkat infeksi yang lebih baik karena kepercayaan penerima pada kontak yang diketahui dan pertumbuhan yang berkelanjutan.

TeaBot adalah trojan perbankan Android yang berbeda yang ditemukan pada Januari 2021 dan memiliki jangkauan global.

Menurut para peneliti, TeaBot didistribusikan kepada korban yang tidak curiga melalui aplikasi trojanized di Google Play Store, termasuk:

  • Pembaca Kode QR – Aplikasi Pemindai – 100.000 unduhan
  • QR Scanner APK – 10.000 unduhan
  • Pemindaian Kode QR – 10.000 unduhan
  • Smart Cleaner – 1.000 unduhan
  • Weather Cast – 10.000 unduhan
  • Weather Daily – 10.000 unduhan

Tak satu pun dari aplikasi ini menampilkan fungsi berbahaya, dan semua menawarkan fitur yang dijanjikan, yang memungkinkan mereka untuk melewati proses peninjauan Google Play Store dan mencapai kolam infeksi yang lebih luas.

Selain itu, para aktor secara aktif mempromosikan aplikasi ini dengan membayar untuk muncul di Google Ads yang disajikan dalam aplikasi dan game lain.

Setelah diinstal dan dieksekusi pada perangkat korban, aplikasi memulai layanan latar belakang yang memeriksa kode negara dan berhenti jika hasilnya adalah Ukraina, Uzbekistan, Uruguay, atau Amerika Serikat.

Aplikasi ini mengambil konfigurasinya untuk semua korban lainnya dan mengambil APK dari repositori GitHub, yang berisi varian TeaBot. Pada saat yang sama, aplikasi meminta pengguna untuk mengizinkan sumber pihak ketiga untuk menginstal paket.


Antara 6 Desember 2021 dan 17 Januari 2022, analis Bitdefender telah menghitung 17 versi TeaBot yang berbeda yang menginfeksi perangkat melalui aplikasi yang terdaftar.

Kampanye TeaBot menggambarkan bahwa bahkan ketika menginstal perangkat lunak dari Google Play Store, itu tidak berarti bahwa Anda akan selalu aman.

Oleh karena itu, disarankan untuk tetap waspada dengan instalasi baru, memeriksa ulasan pengguna, memantau jaringan aplikasi dan penggunaan baterai, dan hanya memberikan izin yang tidak berisiko.

Ingat, ini bukan pertama kalinya TeaBot berhasil menyusup ke Play Store melalui aplikasi yang dicampur, dan tidak mungkin itu akan menjadi yang terakhir.

Sumber: Bleepingcomputer

Ransomware DeadBolt Menargetkan perangkat QNAP, Meminta 50 BTC untuk Kunci Utama

by

Grup ransomware DeadBolt baru mengenkripsi perangkat QNAP NAS di seluruh dunia menggunakan apa yang mereka klaim sebagai kerentanan zero-day dalam perangkat lunak perangkat.

Serangan dimulai hari ini, 25 Januari, dengan perangkat QNAP tiba-tiba menemukan file mereka dienkripsi dan nama file ditambahkan dengan ekstensi file .deadbolt.

Alih-alih membuat catatan tebusan di setiap folder pada perangkat, halaman login perangkat QNAP dibajak untuk menampilkan layar yang menyatakan, “PERINGATAN: File Anda telah dikunci oleh DeadBolt,” seperti yang ditunjukkan pada gambar di bawah ini.

Layar ini memberi tahu korban bahwa mereka harus membayar 0,03 bitcoin (sekitar $ 1.100) ke alamat Bitcoin tertutup yang unik untuk setiap korban.

Setelah pembayaran dilakukan, aktor ancaman mengklaim bahwa mereka akan melakukan transaksi tindak lanjut ke alamat yang sama yang mencakup kunci dekripsi, yang dapat diambil menggunakan instruksi berikut.

Kunci dekripsi ini kemudian dapat dimasukkan ke dalam layar untuk mendekripsi file perangkat. Pada saat ini, tidak ada konfirmasi bahwa membayar uang tebusan akan mengakibatkan menerima kunci dekripsi atau bahwa pengguna akan dapat mendekripsi file.

QNAP telah mengatakan kepada BleepingComputer bahwa pengguna dapat melewati layar tebusan dan mendapatkan akses ke halaman admin mereka dengan menggunakan URL http://nas_ip:8080/cgi-bin/index.cgi atau https://nas_ip/cgi-bin/index.cgi URL.

BleepingComputer menyadari setidaknya lima belas korban serangan ransomware DeadBolt baru, tanpa wilayah tertentu yang menjadi sasaran.

Seperti semua serangan ransomware terhadap perangkat QNAP, serangan DeadBolt hanya mempengaruhi perangkat yang dapat diakses ke Internet.

Karena aktor ancaman mengklaim serangan itu dilakukan melalui kerentanan zero-day, sangat disarankan agar semua pengguna QNAP memutuskan perangkat mereka dari Internet dan menempatkannya di belakang firewall.

QNAP lebih lanjut mengatakan kepada kami bahwa Tim Respons Insiden Keamanan Produk (PSIRT) mereka sedang menyelidiki vektor serangan sekarang dan bahwa pemilik harus mengikuti langkah-langkah ini untuk melindungi data dan NAS mereka.

Penyerang menuntut 50 bitcoin untuk kunci utama

Pada layar catatan tebusan utama, ada tautan berjudul “pesan penting untuk QNAP,” yang ketika diklik, akan menampilkan pesan dari geng DeadBolt khusus untuk QNAP.

Di layar ini, geng ransomware DeadBolt menawarkan rincian lengkap dari dugaan kerentanan zero-day jika QNAP membayar mereka 5 Bitcoin senilai $ 184.000.

Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi file untuk semua korban yang terkena dampak dan info zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

“Lakukan pembayaran bitcoin sebesar 50 BTC ke bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8,” tulis para aktor ancaman dalam sebuah pesan kepada QNAP.

Anda akan menerima kunci master dekripsi universal (dan instruksi) yang dapat digunakan untuk membuka semua file klien Anda. Selain itu, kami juga akan mengirimkan semua rincian tentang kerentanan zero-day untuk security@qnap.com.”

Geng ransomware lebih lanjut menyatakan bahwa tidak ada cara untuk menghubungi mereka selain melalui pembayaran Bitcoin.

Metode komunikasi ini adalah pendekatan yang sangat berbeda dari serangan ransomware lainnya yang biasanya memberikan beberapa bentuk komunikasi, baik melalui situs web, email, atau platform perpesanan Tor khusus.

Sumber: Bleepingcomputer

Let’s Encrypt mencabut banyak sertifikat SSL dalam dua hari

by

Let’s Encrypt akan mulai mencabut sertifikat SSL/TLS tertentu yang diterbitkan dalam 90 hari terakhir karena bug, mulai 28 Januari 2022. Langkah ini dapat memengaruhi jutaan sertifikat Let’s Encrypt yang aktif.

ISRG diinformasikan oleh pihak ketiga yang memeriksa repo kode Let’s Encrypt’s Boulder bahwa ada “dua kejanggalan” dalam penerapan metode validasi “TLS using ALPN” oleh otoritas sertifikat [1, 2].

Untuk mematuhi Kebijakan Sertifikat Let’s Encrypt, yang mengharuskan otoritas sertifikat untuk membatalkan Sertifikat dalam waktu 5 hari dalam kondisi tertentu, organisasi nirlaba akan mulai mencabut sertifikat pada pukul 16:00 UTC pada tanggal 28 Januari 2022.

Bagaimanapun, tidak semua sertifikat dipengaruhi oleh penerapan metode validasi “TLS menggunakan ALPN” yang tidak tepat. Pencabutan yang direncanakan ini hanya akan berlaku untuk sertifikat yang diterbitkan dengan metode validasi TLS-ALPN-01 yang cacat.

“Kami memperkirakan [kurang dari] 1% sertifikat aktif terpengaruh. Pelanggan yang terkena pencabutan akan menerima pemberitahuan email jika akun ACME mereka berisi alamat email yang valid. Jika Anda terpengaruh oleh pencabutan ini dan memerlukan bantuan untuk memperbarui sertifikat Anda silakan ajukan pertanyaan di utas ini,” lebih lanjut menjelaskan insinyur.

Pada November 2021, jumlah semua sertifikat Let’s Encrypt yang aktif melampaui 221 juta.

Oleh karena itu, jumlah sertifikat aktif yang terpengaruh (1% atau kurang) mungkin bisa mencapai jutaan—jika ini diterbitkan dengan validasi tantangan TLS-ALPN-01 yang cacat.

Pemilik situs dengan sertifikat Let’s Encrypt yang terpengaruh melaporkan menerima pemberitahuan email, menginstruksikan mereka untuk memperbarui sertifikat mereka saat pencabutan akan segera dimulai.

Let’s Encrypt mengirimkan pemberitahuan email (Twitter)

“Jika Anda menerima email tersebut, maka akun Anda telah berhasil memperoleh setidaknya satu sertifikat dalam 90 hari terakhir yang divalidasi menggunakan tantangan TLS-ALPN-01,” jelas Let’s Encrypt di utas tersebut.

Mengingat pemberitahuan singkat, tidak semua pengguna mungkin senang dengan langkah Let’s Encrypt yang tiba-tiba tetapi perlu.

Sisi baiknya, mereka yang menggunakan solusi manajemen sertifikat otomatis seperti Caddy Web Server bisa tenang.

“Caddy otomatis menstaples OCSP untuk semua sertifikat yang relevan. Ini akan me-refresh staples sekitar setengah masa berlakunya. Jika status berikutnya Dicabut, Caddy akan segera mengganti sertifikat.”

Pembaruan, 13:54 ET: Menambahkan referensi ke bug lain yang juga menyebabkan pencabutan jutaan sertifikat Let’s Encrypt pada tahun 2020.

Sumber : Bleeping Computer

Apple memperbaiki zero-day baru yang dieksploitasi untuk meretas macOS, perangkat iOS

by

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day. Patch zero-day pertama hari ini (dilacak sebagai CVE-2022-22587) [1, 2] adalah bug kerusakan memori di IOMobileFrameBuffer yang memengaruhi iOS, iPadOS, dan macOS Monterey.

Eksploitasi bug ini yang berhasil menyebabkan eksekusi kode arbitrer dengan hak istimewa kernel pada perangkat yang disusupi.

Daftar lengkap perangkat yang terkena dampak meliputi:

  • iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
  • macOS Monterey

Bug tersebut ditemukan oleh peneliti anonim, Meysam Firouzi (@R00tkitSMM) dari MBition – Mercedes-Benz Innovation Lab, dan Siddharth Aeri (@b1n4r1b01).

Firouzi dan Aeri mengatakan bahwa mereka berdua menemukan bug secara independen dan tidak menyadari bahwa pelaku ancaman mengeksploitasinya di alam liar.

Zero-day kedua adalah bug Safari WebKit di iOS dan iPadOS yang memungkinkan situs web melacak aktivitas penelusuran Anda dan identitas pengguna secara real-time.

Bug tersebut pertama kali diungkapkan ke Apple oleh Martin Bajanik dari FingerprintJS pada 28 November 2021, dan diungkapkan secara publik pada 14 Januari 2022. Setelah peneliti mengungkapkan bug tersebut, bug tersebut ditetapkan pada CVE-2022-22594 dan diperbaiki di iOS 15.3 dan hari ini. Pembaruan keamanan iPadOS 15.3.

Namun, Apple memperbaiki apa yang terasa seperti aliran bug zero-day yang tidak pernah berakhir pada tahun 2021 yang digunakan dalam serangan terhadap perangkat iOS dan macOS.

Bug ini mencakup banyak kerentanan zero-day yang digunakan untuk menginstal spyware Pegasus di iPhone jurnalis, aktivis, dan politisi.

Sumber : Bleeping Computer