Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Microsoft: bug powerdir memberikan akses ke data pengguna macOS yang dilindungi

by

Microsoft mengatakan pelaku ancaman dapat menggunakan kerentanan macOS untuk melewati teknologi Transparansi, Persetujuan, dan Kontrol (TCC) untuk mengakses data pengguna yang dilindungi.

Tim Riset Pembela Microsoft 365 telah melaporkan kerentanan yang dijuluki powerdir (dilacak sebagai CVE-2021-30970) ke Apple pada 15 Juli 2021, melalui Microsoft Security Vulnerability Research (MSVR).

TCC adalah teknologi keamanan yang dirancang untuk memblokir aplikasi agar tidak mengakses data pengguna yang sensitif dengan memungkinkan pengguna macOS mengonfigurasi pengaturan privasi untuk aplikasi yang diinstal pada sistem dan perangkat mereka yang terhubung ke Mac mereka, termasuk kamera dan mikrofon.

Sementara Apple telah membatasi akses TCC hanya untuk aplikasi dengan akses disk penuh dan mengatur fitur untuk secara otomatis memblokir eksekusi kode yang tidak sah, peneliti keamanan Microsoft menemukan bahwa penyerang dapat menanam database TCC kedua yang dibuat khusus yang memungkinkan mereka mengakses info pengguna yang dilindungi.

“Kami menemukan bahwa adalah mungkin untuk secara terprogram mengubah direktori home pengguna target dan menanam database TCC palsu, yang menyimpan riwayat persetujuan permintaan aplikasi,” kata Jonathan Bar Or, peneliti keamanan utama di Microsoft.

“Jika dieksploitasi pada sistem yang belum ditambal, kerentanan ini dapat memungkinkan aktor jahat untuk berpotensi mengatur serangan berdasarkan data pribadi pengguna yang dilindungi.

“Misalnya, penyerang dapat membajak aplikasi yang diinstal pada perangkat—atau menginstal aplikasi berbahaya mereka sendiri—dan mengakses mikrofon untuk merekam percakapan pribadi atau menangkap tangkapan layar dari informasi sensitif yang ditampilkan di layar pengguna.”

eksploitasi PoC powerdir (Microsoft)

Apple telah memperbaiki kerentanan dalam pembaruan keamanan yang dirilis bulan lalu, pada 13 Desember 2021. “Aplikasi berbahaya mungkin dapat melewati preferensi Privasi,” perusahaan menjelaskan dalam penasihat keamanan.

“Selama penelitian ini, kami harus memperbarui eksploitasi proof-of-concept (POC) kami karena versi awal tidak lagi berfungsi pada versi macOS terbaru, Monterey,” tambah Jonathan Bar Or.

“Ini menunjukkan bahwa bahkan ketika macOS atau sistem operasi dan aplikasi lain menjadi lebih keras dengan setiap rilis, vendor perangkat lunak seperti Apple, peneliti keamanan, dan komunitas keamanan yang lebih besar, perlu terus bekerja sama untuk mengidentifikasi dan memperbaiki kerentanan sebelum penyerang dapat memanfaatkannya. mereka.”

Microsoft sebelumnya telah melaporkan menemukan kelemahan keamanan yang dijuluki Shrootless yang akan memungkinkan penyerang untuk melewati Perlindungan Integritas Sistem (SIP) dan melakukan operasi sewenang-wenang, meningkatkan hak istimewa untuk melakukan root, dan menginstal rootkit pada perangkat yang rentan.

Peneliti perusahaan juga menemukan varian baru malware MacOS WizardUpdate (alias UpdateAgent atau Vigram), yang diperbarui dengan taktik penghindaran dan ketekunan baru.

Tahun lalu, pada bulan Juni, Redmond mengungkapkan bug firmware kritis di beberapa model router NETGEAR yang dapat digunakan peretas untuk menembus dan bergerak secara lateral dalam jaringan perusahaan.

Sumber : Bleeping Computer

Pembaruan Keamanan WordPress 5.8.3 Memperbaiki Injeksi SQL, Kelemahan XSS

by

Tim pengembangan WordPress merilis versi 5.8.3, rilis keamanan siklus pendek yang membahas empat kerentanan, tiga di antaranya dinilai sangat penting.

Set termasuk injeksi SQL pada WP_Query, injeksi SQL buta melalui WP_Meta_Query, serangan XSS melalui siput pos, dan injeksi objek admin.

Semua masalah memiliki prasyarat untuk eksploitasi mereka, dan sebagian besar situs WordPress yang menggunakan pengaturan pembaruan inti otomatis default tidak dalam bahaya.

Namun, situs yang menggunakan WordPress 5.8.2 atau yang lebih lama, dengan sistem file read-only yang telah menonaktifkan pembaruan inti otomatis di wp-config.php, dapat rentan terhadap serangan berdasarkan kekurangan yang diidentifikasi.

Empat kelemahan yang dibahas dengan pembaruan keamanan terbaru adalah sebagai berikut:

  • CVE-2022-21661: Tingkat keparahan tinggi (skor CVSS 8.0) injeksi SQL melalui WP_Query. Kelemahan ini dapat dieksploitasi melalui plugin dan tema yang menggunakan WP-Query. Perbaikan mencakup versi WordPress hingga 3.7.37.
  • CVE-2022-21662: Tingkat keparahan tinggi (skor CVSS 8.0) kerentanan XSS yang memungkinkan penulis (pengguna hak istimewa yang lebih rendah) untuk menambahkan backdoor berbahaya atau mengambil alih situs dengan menyalahgunakan siput pos. Perbaikan mencakup versi WordPress hingga 3.7.37.
  • CVE-2022-21664: Tingkat keparahan tinggi (skor CVSS 7,4) injeksi SQL melalui kelas inti WP_Meta_Query. Perbaikan mencakup versi WordPress hingga 4.1.34.
  • CVE-2022-21663: Masalah injeksi objek tingkat keparahan sedang (skor CVSS 6,6) yang hanya dapat dieksploitasi jika aktor ancaman telah membahayakan akun admin. Perbaikan mencakup versi WordPress hingga 3.7.37.

Belum ada laporan tentang hal di atas yang berada di bawah eksploitasi aktif di alam liar, dan tidak satu pun dari kekurangan ini diperkirakan memiliki dampak potensial yang parah pada sebagian besar situs WordPress.

Meskipun demikian, disarankan agar semua pemilik situs WordPress meng-upgrade ke versi 5.8.3, meninjau konfigurasi firewall mereka, dan memastikan bahwa pembaruan inti WP diaktifkan.

Pengaturan ini dapat dilihat pada parameter ‘define’ dalam wp-config.php, yang harus “define (‘WP_AUTO_UPDATE_CORE’, true);”

Pembaruan inti otomatis diperkenalkan pada tahun 2013 di WordPress 3.7, dan menurut statistik resmi, hanya 0,7% dari semua situs WP yang saat ini menjalankan versi yang lebih tua dari itu.

Sumber: Bleepingcomputer

Dev Merusak NPM Library ‘color’ dan ‘faker’ melanggar ribuan aplikasi

by

Pengguna perpustakaan open-source populer ‘warna’ dan ‘faker’ dibiarkan tertegun setelah mereka melihat aplikasi mereka, menggunakan perpustakaan ini, mencetak data omong kosong dan melanggar.

Beberapa menduga jika perpustakaan NPM telah dikompromikan, tetapi ternyata ada lebih banyak cerita.

Pengembang perpustakaan ini sengaja memperkenalkan loop tak terbatas yang membangun ribuan proyek yang bergantung pada ‘warna’ dan ‘faker.’

Perpustakaan warna menerima lebih dari 20 juta unduhan mingguan di NPM saja dan memiliki hampir 19.000 proyek yang mengandalkannya. Sedangkan, faker menerima lebih dari 2,8 juta unduhan mingguan di NPM, dan memiliki lebih dari 2.500 tanggungan.

Revolusi Open Source?

Pengembang di balik perpustakaan NPM open-source populer ‘warna’ (alias color.js di GitHub) dan ‘faker’ (alias ‘faker.js’ di GitHub) sengaja memperkenalkan komit nakal di dalamnya yang berdampak pada ribuan aplikasi yang mengandalkan perpustakaan ini.

Kemarin, pengguna proyek open-source populer, seperti Amazon Cloud Development Kit (aws-cdk) tercengang melihat aplikasi mereka mencetak pesan omong kosong di konsol mereka.

Pesan-pesan ini termasuk teks ‘LIBERTY LIBERTY LIBERTY’ diikuti oleh urutan karakter non-ASCII:

Awalnya, pengguna menduga bahwa perpustakaan ‘warna’ dan ‘faker’ yang digunakan oleh proyek-proyek ini dikompromikan [1, 2, 3], mirip dengan bagaimana perpustakaan coa, rc, dan ua-parser-js dibajak tahun lalu oleh aktor jahat.

Tapi, pada kenyataannya, itu adalah dev di balik warna dan faker yang tampaknya telah sengaja melakukan kode yang bertanggung jawab atas kesalahan besar, seperti yang dilihat oleh BleepingComputer.

Pengembang, bernama Marak Squires menambahkan “modul bendera Amerika baru” ke perpustakaan warna.js kemarin dalam versi v1.4.44-liberty-2 yang kemudian ia dorong ke GitHub dan NPM.

Loop tak terbatas yang diperkenalkan dalam kode akan terus berjalan tanpa batas waktu; mencetak urutan karakter non-ASCII omong kosong tanpa henti pada konsol untuk aplikasi apa pun yang menggunakan ‘colors.’

Alasan di balik kenakalan ini di pihak pengembang tampaknya adalah pembalasan – terhadap mega-perusahaan dan konsumen komersial proyek open-source yang secara luas bergantung pada perangkat lunak bebas biaya dan bertenaga masyarakat tetapi tidak memberikan kembali kepada masyarakat.

Selengkapnya: Bleepingcomputer

Serangan DDoS pemerasan tumbuh lebih kuat dan lebih umum

by

Akhir tahun 2021 terjadi peningkatan jumlah insiden penolakan layanan terdistribusi yang datang dengan permintaan tebusan dari penyerang untuk menghentikan serangan tersebut.

Pada kuartal keempat tahun lalu, sekitar seperempat pelanggan Cloudflare yang menjadi target serangan DDoS mengatakan bahwa mereka menerima catatan tebusan dari pelaku.

Sebagian besar serangan ini terjadi pada Desember 2021, ketika hampir sepertiga pelanggan Cloudflare melaporkan menerima surat tebusan.

Menurut perusahaan, 2021 adalah saat sebagian besar serangan ini terjadi, dengan peningkatan 29% tahun-ke-tahun yang tercatat dan lompatan kuartal-ke-kuartal 175%.

Sekitar 200Gbps dan kemudian ditekuk menjadi lebih dari 500Gbps pada pertengahan September. Pada Februari 2021, perusahaan layanan keamanan internet Akamai melihat bagiannya dari tantangan berurusan dengan RDDoS 800Gbps yang menargetkan perusahaan perjudian di Eropa.

September lalu, seorang aktor ancaman menyebarkan RDDoS terhadap penyedia voice-over-Internet VoIP.ms, mengganggu layanan telepon karena server DNS perusahaan menjadi tidak dapat dijangkau.

Melihat alamat IP, sebagian besar insiden DDoS ini berasal dari China, AS, Brasil, dan India, yang disebarkan oleh bot seperti Meris, yang muncul tahun ini dengan serangan memecahkan rekor sebanyak 21,8 juta permintaan terhadap raksasa internet Rusia Yandex.

Tidak seperti DDoS lapisan aplikasi, yang menolak akses pengguna ke layanan, serangan DDoS lapisan jaringan menargetkan seluruh infrastruktur jaringan perusahaan yang mencoba untuk menghapus router dan server.

Salah satu serangan DDoS terbesar yang dimitigasi Cloudflare berlangsung selama 60 detik dan berasal dari botnet dengan 15.000 sistem yang melemparkan hampir 2Tbps paket sampah ke pelanggan, ini dikerahkan dari jaringan perangkat IoT yang berjalan dikompromikan oleh varian botnet Mirai.

Cloudflare mencatat bahwa banjir SYN tetap menjadi metode serangan yang populer. Protokol SNMP telah mengalami lonjakan dramatis hampir 6.000% dari satu kuartal ke kuartal lainnya, meskipun serangan DDoS berbasis UDP adalah vektor kedua yang paling banyak digunakan.

“Saat kami melihat vektor serangan yang muncul — yang membantu kami memahami vektor baru yang digunakan penyerang untuk meluncurkan serangan — kami mengamati lonjakan besar dalam serangan DDoS berbasis UDP, MSSQL, dan generik” – Cloudflare

Sumber : Bleeping Computer

Pengguna Antivirus Avira 500M Dikenalkan ke Cryptomining

by

Banyak pembaca terkejut mengetahui baru-baru ini bahwa suite antivirus Norton 360 yang populer sekarang dikirimkan dengan program yang memungkinkan pelanggan menghasilkan uang dengan menambang mata uang virtual. Tetapi Norton 360 tidak sendirian dalam upaya yang meragukan ini: Antivirus Avira – yang telah membangun basis 500 juta pengguna di seluruh dunia sebagian besar dengan membuat produk gratis – baru-baru ini dibeli oleh perusahaan yang sama yang memiliki Norton 360 dan memperkenalkan pelanggannya ke layanan yang disebut Avira Crypto.

Didirikan pada tahun 2006, Avira Operations GmbH &Co. KG adalah perusahaan perangkat lunak multinasional Jerman yang terkenal dengan Avira Free Security (alias Avira Free Antivirus). Pada Januari 2021, Avira diakuisisi oleh Tempe, NortonLifeLock Inc. yang berbasis di Ariz., perusahaan yang sama yang sekarang memiliki Norton 360.

Pada 2017, perusahaan perlindungan pencurian identitas LifeLock diakuisisi oleh Symantec Corp., yang berganti nama menjadi NortonLifeLock pada 2019. LifeLock sekarang termasuk dalam layanan Norton 360; Avira menawarkan pengguna layanan serupa yang disebut Breach Monitor.

Seperti Norton 360, Avira hadir dengan cryptominer yang sudah diinstal, tetapi pelanggan harus memilih untuk menggunakan layanan yang memberi daya padanya. FAQ Avira pada layanan cryptomining-nya agak jarang. Misalnya, itu tidak menentukan berapa banyak NortonLifeLock keluar dari kesepakatan (NortonLifeLock menyimpan 15 persen dari cryptocurrency yang ditambang oleh Norton Crypto).

“Avira Crypto memungkinkan Anda menggunakan waktu idle komputer Anda untuk menambang cryptocurrency Ethereum (ETH),” FAQ menjelaskan. “Karena cryptomining membutuhkan tingkat kekuatan pemrosesan yang tinggi, itu tidak cocok untuk pengguna dengan komputer rata-rata. Bahkan dengan perangkat keras yang kompatibel, menambang cryptocurrency sendiri bisa kurang bermanfaat. Pilihan terbaik Anda adalah bergabung dengan kolam penambangan yang berbagi kekuatan komputer mereka untuk meningkatkan peluang mereka menambang cryptocurrency. Hadiahnya kemudian didistribusikan secara merata kepada semua anggota di kolam renang.”

Tangkapan layar di atas diambil pada Virustotal.com, layanan milik Google yang memindai file yang dikirimkan terhadap puluhan produk antivirus. Laporan deteksi yang digambarkan ditemukan dengan mencari Virustotal untuk “ANvOptimusEnablementCuda,” sebuah fungsi yang termasuk dalam komponen penambangan Norton Crypto “Ncrypt.exe.”

Beberapa pelanggan Norton lama turun ke forum online NortonLifeLock untuk mengekspresikan kengerian pada prospek produk antivirus mereka menginstal perangkat lunak penambangan koin, terlepas dari apakah layanan penambangan dimatikan secara default.

“Norton harus MENDETEKSI dan membunuh pembajakan penambangan crypto, bukan menginstalnya sendiri,” bunyi utas 28 Desember di forum Norton berjudul “Benar-benar marah.”

Yang lain telah menuduh bahwa penawaran crypto akan berakhir dengan biaya pelanggan lebih banyak dalam tagihan listrik daripada yang dapat mereka harapkan dari membiarkan tambang antivirus mereka ETH. Terlebih lagi, ada biaya besar dan kuat yang terlibat dalam memindahkan ETH yang ditambang oleh Norton atau Avira Crypto ke akun yang dapat diuangkan pengguna, dan banyak pengguna tampaknya tidak mengerti bahwa mereka tidak dapat menguangkan sampai mereka setidaknya mendapatkan cukup ETH untuk menutupi biaya.

Sumber: Kresbon Security

Ransomware AvosLocker versi Linux menargetkan server VMware ESXi

by

AvosLocker adalah geng ransomware terbaru yang telah menambahkan dukungan untuk mengenkripsi sistem Linux ke varian malware terbaru, yang secara khusus menargetkan mesin virtual VMware ESXi.

Beberapa bulan yang lalu, geng AvosLocker juga terlihat mengiklankan varian ransomware terbarunya, Windows Avos2 dan AvosLinux, sambil memperingatkan afiliasi untuk tidak menyerang target pasca-soviet/CIS.

VM ESXi dihentikan sebelum enkripsi
Setelah diluncurkan pada sistem Linux, AvosLocker akan menghentikan semua mesin ESXi di server menggunakan perintah berikut:

esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” daftar proses vm | ekor -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’

Setelah mulai beroperasi pada sistem yang disusupi, ransomware akan menambahkan ekstensi .avoslinux ke semua file terenkripsi.

Itu juga menjatuhkan catatan tebusan yang meminta para korban untuk tidak mematikan komputer mereka untuk menghindari korupsi file dan mengunjungi situs bawang untuk rincian lebih lanjut tentang cara membayar uang tebusan.

AvosLocker adalah geng baru yang pertama kali muncul selama musim panas 2021, menyerukan afiliasi ransomware di forum bawah tanah untuk bergabung dengan operasi Ransomware-as-a-Service (RaaS) mereka yang baru diluncurkan.

Langkah untuk menargetkan mesin virtual ESXi sejalan dengan target perusahaan mereka, yang baru-baru ini bermigrasi ke mesin virtual untuk pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang lebih efisien.

Dengan menargetkan VM, operator ransomware juga memanfaatkan enkripsi beberapa server yang lebih mudah dan lebih cepat dengan satu perintah.

Sejak Oktober, ransomware Hive mulai mengenkripsi sistem Linux dan FreeBSD menggunakan varian malware baru, dalam beberapa bulan setelah peneliti melihat encryptor Linux REvil ransomware menargetkan VMware ESXi VM.

Emsisoft CTO Fabian Wosar mengatakan bahwa geng ransomware lain, termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, dan Hellokitty, juga telah membuat dan menggunakan enkripsi Linux mereka sendiri.

Varian Linux ransomware HelloKitty dan BlackMatter juga ditemukan di alam liar oleh peneliti keamanan pada bulan Juli dan Agustus, yang lebih lanjut mengkonfirmasi pernyataan Wosar. Operasi ransomware Snatch dan PureLocker juga telah diamati menggunakan enkripsi Linux di masa lalu.

Sumber : Bleeping Computer

Cacat RCE-Log4J dalam Database H2 Mendapatkan Peringkat Kritis

by

Para peneliti menemukan bug yang terkait dengan kerentanan perpustakaan penebangan Log4J, yang dalam hal ini membuka pintu bagi musuh untuk mengeksekusi kode jarak jauh pada sistem yang rentan. Namun, cacat ini tidak menimbulkan risiko yang sama dengan yang diidentifikasi sebelumnya di Log4Shell, kata mereka.

Keamanan JFrog menemukan cacat dan dinilai penting dalam konteks konsol database H2 Java, database open-source yang populer, menurut posting blog Kamis oleh para peneliti.

H2 menarik bagi pengembang untuk solusi dalam memori yang ringan – yang menghalangi kebutuhan data untuk disimpan di disk – dan digunakan dalam platform web seperti Spring Boot dan platform IoT seperti ThingWorks.

Namun, cacat (CVE-2021-42392) mirip dengan Log4Shell. “[Saya] seharusnya tidak tersebar luas” karena beberapa kondisi dan faktor, peneliti JFrog Andrey Polkovnychenko dan Shachar Menashe menulis dalam posting mereka.

Log4Shell (CVE-2021-44228) diikat ke perpustakaan penebangan Apache Log4j pada awal Desember dan segera dieksploitasi oleh penyerang. Ini melahirkan 60 varian dari eksploitasi asli yang dibuat untuk cacat dalam periode 24 jam serta perbaikan yang salah yang dapat menyebabkan serangan DoS ketika pertama kali dirilis.

Bagaimana Bug H2 Mirip dengan Log4J?

Akar penyebab cacat H2 didasarkan pada pemuatan kelas jarak jauh JNDI, sehingga mirip dengan Log4Shell karena memungkinkan beberapa jalur kode dalam kerangka database H2 melewati URL yang dikendalikan penyerang tanpa filter ke fungsi javax.naming.Context.lookup. Hal ini memungkinkan untuk pemuatan basis kode jarak jauh, juga dikenal sebagai injeksi kode Java atau eksekusi kode jarak jauh, kata para peneliti.

“Secara khusus, metode org.h2.util.JdbcUtils.getConnection mengambil nama kelas driver dan URL database sebagai parameter,” mereka menjelaskan dalam posting. “Jika kelas pengemudi ditugaskan ke javax.naming.Context class, metode instantiates objek dari itu dan memanggil metode pencariannya.”

Alasan untuk Waspada, tetapi Tidak Panik

Namun, tidak seperti Log4Shell, kelemahan H2 memiliki ruang lingkup dampak “langsung”, yang berarti bahwa biasanya server yang memproses permintaan awal — yaitu, konsol H2 — akan merasakan beban langsung dari bug eksekusi kode jarak jauh (RCE), tulis para peneliti dalam sebuah posting yang diterbitkan Kamis.

“Ini kurang parah dibandingkan dengan Log4Shell karena server yang rentan harus lebih mudah ditemukan,” tulis para peneliti.

Kedua, secara default pada distribusi vanila dari database H2, konsol H2 hanya mendengarkan koneksi localhost, sehingga membuat pengaturan default aman, mereka menekankan.

“Ini tidak seperti Log4Shell yang dapat dieksploitasi dalam konfigurasi default Log4j,” tulis para peneliti. Namun, konsol H2 dapat dengan mudah dimodifikasi untuk mendengarkan koneksi jarak jauh juga, yang akan memperluas risiko, para peneliti menambahkan.

Memang, aspek eksekusi cacat ini pasti mengurangi keparahannya dibandingkan dengan masalah Log4j, catat seorang profesional keamanan.

“Log4j unik karena sejumlah string yang dimanipulasi serangan, dari header ke jalur URL, dapat mengakibatkan eksploitasi korban tergantung pada bagaimana aplikasi didirikan untuk memanfaatkan penebangan dengan Log4j,” Matthew Warner, CTO dan co-founder di deteksi ancaman otomatis dan penyedia teknologi respons Blumira, menulis dalam email ke Threatpost. “Dalam hal ini, konsol database H2 harus sengaja terkena internet dengan mengubah konfigurasi.”

Ketiga, sementara banyak vendor mungkin menjalankan database H2, mereka mungkin tidak menjalankan konsol H2 dengan itu, kata para peneliti JFrog. Ada vektor serangan lain yang dapat mengeksploitasi cacat H2; Namun, mereka “tergantung konteks dan kecil kemungkinannya terkena penyerang jarak jauh,” para peneliti mengamati.

Siapa yang berisiko?

Jika cacat H2 tidak layak mendapatkan alarm yang sama dengan Log4Shell, mengapa perlu dicatat, orang mungkin bertanya. Tim JFrog mengatakan bahwa itu bisa sangat penting dan memungkinkan RCE yang tidak diautistik bagi mereka yang menjalankan konsol H2 yang terkena jaringan area lokal (LAN) atau, bahkan lebih buruk lagi, jaringan area luas (WAN). Memang, menyerang konsol H2 secara langsung adalah vektor serangan yang paling parah, kata para peneliti.

Warner Blumira mengatakan bahwa menurut open-source intelligence (OSINT), kemungkinan ada kurang dari 100 server di internet yang terkena dampak cacat H2, “jadi hanya sejumlah organisasi yang sangat terbatas” yang terkena dampak langsung, katanya.

“Kerentanan ini adalah pengingat yang baik bahwa penting untuk memastikan bahwa layanan sensitif hanya terpapar secara internal untuk mengurangi potensi risiko di masa depan,” tambah Warner.

Namun, peneliti JFrog mengatakan bahwa banyak alat pengembang bergantung pada database H2 dan secara khusus mengekspos konsol H2. Hal ini mengkhawatirkan karena “tren serangan rantai pasokan baru-baru ini yang menargetkan pengembang, seperti paket berbahaya di repositori populer.”

Serangan-serangan ini menekankan “pentingnya alat pengembang yang dibuat aman untuk semua kasus penggunaan yang wajar,” tulis para peneliti, itulah sebabnya mereka berharap banyak alat yang bergantung pada H2 akan lebih aman setelah menerapkan perbaikan yang direkomendasikan.

Pada saat itu, tim JFrog merekomendasikan agar semua pengguna database H2 untuk meng-upgrade ke versi 2.0.206, yang memperbaiki CVE-2021-42392 dengan membatasi URL JNDI untuk menggunakan protokol java lokal saja, menolak kueri LDAP / RMI jarak jauh, para peneliti menjelaskan.

“Ini mirip dengan perbaikan yang diterapkan di Log4j 2.17.0,” tulis mereka.

Bahkan mereka yang tidak secara langsung menggunakan konsol H2 harus memperbarui “karena fakta bahwa vektor serangan lain ada, dan eksploitasi mereka mungkin sulit untuk dipastikan,” tambah para peneliti.

Sumber: Threat Post

Ups: Cyberspies menginfeksi diri mereka sendiri dengan malware mereka sendiri

by

Setelah menginfeksi diri mereka sendiri dengan trojan akses jarak jauh (RAT), sebuah kelompok spionase dunia maya yang terkait dengan India secara tidak sengaja memaparkan operasinya kepada peneliti keamanan.

Pelaku ancaman telah aktif setidaknya sejak Desember 2015 dan dilacak sebagai PatchWork (alias Dropping Elephant, Chinastrats, atau Quilted Tiger) karena penggunaan kode copy-paste.

Malwarebytes Labs mengamati pelaku ancaman menggunakan dokumen RTF berbahaya yang meniru otoritas Pakistan untuk menginfeksi target dengan varian baru RAT BERITA BURUK, yang dikenal sebagai Ragnatela.

Ragnatela RAT memungkinkan pelaku ancaman untuk mengeksekusi perintah, mengambil snapshot layar, mencatat penekanan tombol, memanen file sensitif dan daftar aplikasi yang sedang berjalan, menyebarkan muatan tambahan, dan mengunggah file.

“Ironisnya, semua informasi yang kami kumpulkan dimungkinkan berkat aktor ancaman yang menginfeksi diri mereka sendiri dengan RAT mereka sendiri, menghasilkan penekanan tombol dan tangkapan layar yang ditangkap dari komputer dan mesin virtual mereka sendiri,” jelas Tim Intelijen Ancaman Malwarebytes Labs.

Setelah menemukan bahwa operator PatchWork menginfeksi sistem pengembangan mereka sendiri dengan RAT, para peneliti dapat memantau mereka saat menggunakan VirtualBox dan VMware untuk pengujian dan pengembangan web dan pengujian pada komputer dengan tata letak keyboard ganda (yaitu, Inggris dan India).

PatchWork menguji RAT Ragnatela (Malwarebytes LABS)

Saat mengamati operasi mereka, mereka juga memperoleh info tentang target yang dikompromikan kelompok, termasuk Kementerian Pertahanan Pakistan dan anggota fakultas dari kedokteran molekuler dan departemen ilmu biologi di beberapa universitas seperti Universitas Pertahanan Nasional Islam Abad, Fakultas Bio-Universitas UVAS. Sains, institut Penelitian HEJ Karachi, dan Universitas SHU.

Operator PatchWork sebelumnya telah menargetkan think tank AS pada Maret 2018 dalam beberapa kampanye spear-phishing menggunakan taktik yang sama dengan mendorong file RTF berbahaya untuk membahayakan sistem korban mereka dan varian malware QuasarRAT.

Dua bulan sebelumnya, pada Januari 2018, mereka diamati mendorong dokumen bersenjata yang mengirimkan malware BADNEWS dalam serangan terhadap target dari anak benua India.

Mereka juga berada di balik kampanye spear-phishing yang menargetkan karyawan organisasi pemerintah Eropa pada akhir Mei 2016.

Sumber : Bleeping Computer