News 224 - Naga Cyber Defense

Kampanye Spyware Massal ‘PseudoManuscrypt’ Menargetkan 35K Sistem

December 18, 2021 by Søren

Para peneliti telah melacak spyware baru – dijuluki “PseudoManuscrypt” karena mirip dengan malware “Manuscrypt” dari kelompok ancaman persisten lanjutan (APT) Lazarus – yang mencoba mencoret-coret dirinya sendiri di lebih dari 35.000 komputer yang ditargetkan di 195 negara.

Peneliti Kaspersky mengatakan dalam laporan Kamis bahwa dari 20 Januari hingga 10 November, aktor di balik kampanye besar-besaran menargetkan organisasi pemerintah dan sistem kontrol industri (ICS) di berbagai industri, termasuk teknik, otomatisasi bangunan, energi, manufaktur, konstruksi, utilitas dan pengelolaan air.

Manuscrypt, alias NukeSped, adalah keluarga alat malware yang telah digunakan dalam kampanye spionase di masa lalu. Salah satunya adalah kampanye spear-phishing Februari yang terkait dengan Lazarus – APT Korea Utara yang produktif – yang menggunakan kluster alat ‘ThreatNeedle’ keluarga malware Manuscrypt untuk menyerang perusahaan pertahanan.

Tim ICS-CERT Kasperskiy pertama kali mendeteksi rangkaian serangan PseudoManuscrypt pada bulan Juni, ketika malware memicu deteksi antivirus yang dirancang untuk mendeteksi aktivitas Lazarus. Namun, gambaran lengkapnya tidak mengarah ke Lazarus, mengingat cipratan puluhan ribu serangan yang tidak biasa dan tidak bertarget.

Namun, Kaspersky kemudian menemukan kesamaan antara PseudoManuscrypt baru dan malware Manuscrypt Lazarus.

Malware PseudoManuscrypt memuat muatannya dari registri sistem dan mendekripsinya, para peneliti menjelaskan, dengan muatan menggunakan lokasi registri yang unik untuk setiap sistem yang terinfeksi.

“Kedua program jahat memuat muatan dari registri sistem dan mendekripsinya; dalam kedua kasus, nilai khusus dalam format CLSID digunakan untuk menentukan lokasi muatan di registri,” kata mereka. “File yang dapat dieksekusi dari kedua program jahat memiliki tabel ekspor yang hampir identik.”

Selengkapnya: Threat Post

RAT ‘DarkWatchman’ Menunjukkan Evolusi di Fileless Malware

December 17, 2021 by Winnie the Pooh

Trojan akses jarak jauh (RAT) baru yang didistribusikan melalui kampanye spear-phishing berbahasa Rusia menggunakan manipulasi unik Windows Registry untuk menghindari sebagian besar deteksi keamanan, menunjukkan evolusi signifikan dalam teknik fileless malware.

Dijuluki DarkWatchman, RAT – ditemukan oleh para peneliti di Prevailion’s Adversarial Counterintelligence Team (PACT) – menggunakan registri pada sistem Windows untuk hampir semua penyimpanan sementara pada mesin dan dengan demikian tidak pernah menulis apa pun ke disk. Ini memungkinkannya “beroperasi di bawah atau di sekitar ambang deteksi sebagian besar alat keamanan,” tulis peneliti PACT Matt Stafford dan Sherman Smith dalam sebuah laporan yang diterbitkan Selasa malam.

Karena aspek-aspek tertentu dari fungsinya, para peneliti percaya bahwa DarkWatchman sedang digunakan oleh pelaku ransomware dan afiliasinya “sebagai muatan awal tahap pertama untuk penyebaran ransomware,” tulis mereka.

Aspek-aspek ini termasuk upayanya untuk menghapus shadow copy pada instalasi, pencariannya untuk target perusahaan – misalnya, smart-card readers – dan kemampuannya untuk memuat muatan tambahan dari jarak jauh, jelas mereka.

Secara keseluruhan, jelas bahwa rangkaian fitur DarkWatchman menunjukkan pekerjaan aktor ancaman yang canggih dan merupakan langkah maju yang penting dalam bagaimana penyerang dapat memperoleh entri awal dan kemudian mencapai persistant dan stealthy pada sistem Windows untuk mengekstrak data dan melakukan aktivitas jahat lainnya, tulis para peneliti.

Selengkapnya: Threat Post

Google Mengatakan NSO Pegasus Zero-Click ‘Eksploitasi Paling Canggih Secara Teknis yang Pernah Dilihat’

December 17, 2021 by Winnie the Pooh

Peneliti keamanan di Project Zero Google telah memilih salah satu eksploitasi iPhone paling terkenal di alam liar dan menemukan peta jalan peretasan yang belum pernah dilihat sebelumnya yang menyertakan file PDF yang berpura-pura menjadi gambar GIF dengan CPU virtual berkode khusus yang dibuat dari operasi piksel boolean.

Jika itu membuat Anda menggaruk-garuk kepala, itulah reaksi dari tim peneliti keamanan utama Google setelah membongkar apa yang disebut eksploitasi zero-click FORCEDENTRY iMessage yang digunakan untuk menanam alat pengawasan Pegasus NSO Group di iPhone.

“Kami menilai ini sebagai salah satu eksploitasi paling canggih secara teknis yang pernah kami lihat,” Ian Beer dan Samuel Groß dari Google menulis dalam penyelaman teknis yang mendalam tentang eksploitasi eksekusi kode jarak jauh yang ditangkap selama serangan di alam liar terhadap seorang aktivis di Arab Saudi.

Para peneliti mengatakan kecanggihan eksploitasi adalah konfirmasi bahwa peretas di NSO Group yang berbasis di Israel memiliki keahlian teknis dan sumber daya untuk bersaing yang sebelumnya dianggap hanya dapat diakses oleh segelintir negara bangsa.

Dalam perinciannya, Project Zero mengatakan eksploitasi secara efektif menciptakan “senjata yang tidak memiliki pertahanan,” mencatat bahwa eksploitasi zero-klik bekerja secara diam-diam di latar belakang dan bahkan tidak mengharuskan target untuk mengklik tautan atau menjelajahi situs berbahaya.

Selengkapnya: Securityweek

Meta memperingatkan 50.000 pengguna mengenai adanya penargetkan oleh perusahaan ‘mata-mata sewaan’

December 17, 2021 by Winnie the Pooh

Perusahaan induk Facebook, Meta, telah memperingatkan 50.000 pengguna Facebook dan Instagram bahwa akun mereka dimata-matai oleh skema “mata-mata sewaan” komersial di seluruh dunia.

Pengguna ditargetkan oleh tujuh entitas dan berlokasi di lebih dari 100 negara, menurut pembaruan yang diposting di halaman berita Meta hari ini.

Target termasuk wartawan, pembangkang, kritikus rezim otoriter, keluarga oposisi, dan aktivis hak asasi manusia, kata Meta. Pengawasan itu terungkap dalam penyelidikan selama berbulan-bulan di mana Meta mengidentifikasi kelompok mata-mata dan menghapusnya dari platform.

Laporan ancaman yang lebih rinci yang dirilis oleh Meta menyebutkan enam dari tujuh perusahaan, dan mencantumkan salah satu entitas sebagai tidak diketahui. Empat dari tujuh — Cobwebs Technologies, Cognyte, Black Cube, dan Bluehawk CI — berbasis di Israel, dengan tiga lainnya di Cina, India, dan Makedonia Utara.

“Perusahaan-perusahaan ini adalah bagian dari industri yang luas yang menyediakan perangkat lunak yang mengganggu dan layanan pengawasan tanpa pandang bulu kepada pelanggan mana pun — terlepas dari siapa yang mereka targetkan atau pelanggaran hak asasi manusia yang mungkin mereka aktifkan,” tulis direktur gangguan ancaman Meta, David Agranovich, dan kepala investigasi spionase dunia maya, Mike Dvilyanski.

Perusahaan tersebut telah masuk daftar hitam pemerintah AS karena menjual perangkat lunak yang digunakan untuk memata-matai jurnalis di seluruh dunia.

Selengkapnya: The Verge

Penyerang Log4j beralih untuk menyuntikkan penambang Monero melalui RMI

December 17, 2021 by Winnie the Pooh

Beberapa pelaku ancaman yang mengeksploitasi kerentanan Apache Log4j telah beralih dari LDAP callback URL ke RMI atau bahkan menggunakan keduanya dalam satu permintaan untuk peluang keberhasilan maksimum.

Pergeseran ini merupakan perkembangan penting dalam serangan yang sedang berlangsung dan yang perlu diwaspadai oleh para Defender ketika mencoba mengamankan semua vektor potensial.

Untuk saat ini, tren ini diamati oleh pelaku ancaman yang ingin membajak sumber daya untuk penambangan Monero, tetapi yang lain dapat mengadopsinya kapan saja.

Sebagian besar serangan yang menargetkan kerentanan Log4j “Log4Shell” telah terjadi melalui layanan LDAP (Lightweight Directory Access Protocol).

Peralihan ke API RMI (Remote Method Invocation) tampaknya kontra-intuitif pada awalnya, mengingat mekanisme ini tunduk pada pemeriksaan dan batasan tambahan, tetapi tidak selalu demikian.

Beberapa versi JVM (Java Virtual Machine) tidak memiliki kebijakan yang ketat, dan karena itu, RMI terkadang dapat menjadi saluran yang lebih mudah untuk mencapai RCE (eksekusi kode jarak jauh) daripada LDAP.

Dalam serangan yang dilihat oleh Juniper Labs, pelaku ancaman tertarik untuk menambang Monero di server yang disusupi dan menyajikannya sebagai aktivitas yang hampir tidak berbahaya yang “tidak akan merugikan orang lain.”

Penambang menargetkan sistem Linux x84_64 dan menambahkan kegigihan melalui subsistem cron.

Meskipun sebagian besar serangan sejauh ini menargetkan sistem Linux, CheckPoint melaporkan bahwa analisnya menemukan executable Win32 pertama yang memanfaatkan Log4Shell, yang disebut ‘StealthLoader.’

Satu-satunya cara yang layak untuk mempertahankan diri dari apa yang telah menjadi salah satu kerentanan paling berpengaruh dalam sejarah baru-baru ini adalah dengan update Log4j ke versi 2.16.0.

Selain itu, admin harus mengawasi bagian keamanan Apache untuk pengumuman rilis versi baru dan segera menerapkannya.

Untuk panduan mitigasi dan sumber informasi teknis lengkap, lihat halaman detail CISA di Log4Shell.

Selengkapnya: Bleeping Computer

Bug Log4j Dimanfaatkan Oleh Ransomware Gang Untuk Menyerang Server Minecraft

December 17, 2021 by Winnie the Pooh

Sejumlah kecil pelanggan Minecraft yang menjalankan server mereka sendiri dengan versi Log4j yang rentan telah terkena ransomware Khonsari, Microsoft melaporkan pada hari Rabu.

Raksasa perangkat lunak yang berbasis di Redmond, Wash. mengatakan bahwa musuh telah mengirim pesan berbahaya dalam game ke server Minecraft yang rentan. Server kemudian mengeksploitasi kerentanan Log4j untuk mengambil dan mengeksekusi muatan yang dihosting penyerang di server serta klien rentan yang terhubung, menurut Microsoft.

“Karena pergeseran lanskap ancaman, Microsoft mengulangi panduan bagi pelanggan Minecraft yang menjalankan server mereka sendiri untuk menerapkan pembaruan server Minecraft terbaru dan bagi pemain untuk berhati-hati dengan hanya menghubungkan ke server Minecraft yang tepercaya,” tulis tim intelijen ancaman terpadu Microsoft dalam sebuah posting blog.

Ransomware Khonsari dikemas sebagai Java class file berbahaya dan dieksekusi dalam konteks javaw.exe untuk menebus perangkat. Microsoft mengatakan temuannya mengkonfirmasi laporan sebelumnya dari Bucharest, Bitdefender yang berbasis di Rumania bahwa Khonsari ransomware dikirimkan sebagai muatan setelah eksploitasi kerentanan Log4j.

Minecraft telah mengarahkan pelanggan yang menghosting server mereka sendiri untuk mengunduh file ke direktori kerja tempat server mereka berjalan atau menambahkan argumen JVM ke baris perintah startup mereka tergantung pada versi yang mereka gunakan. Selain itu, klien yang dimodifikasi dan launcher pihak ketiga mungkin tidak diperbarui secara otomatis, dan Minecraft telah memberi tahu pengguna dalam posisi itu untuk mengikuti saran dari penyedia pihak ketiga mereka.

Selengkapnya: CRN

Peretas Mulai Mengeksploitasi Kerentanan Log4j Kedua sebagai Munculnya Cacat Ketiga

December 17, 2021 by Winnie the Pooh

Perusahaan infrastruktur web Cloudflare pada hari Rabu mengungkapkan bahwa aktor ancaman secara aktif mencoba untuk mengeksploitasi bug kedua yang diungkapkan dalam utilitas logging Log4j yang banyak digunakan, sehingga sangat penting bagi pelanggan untuk bergerak cepat untuk menginstal versi terbaru karena rentetan serangan terus menghantam sistem yang belum ditambal dengan berbagai malware.

Lebih mengkhawatirkan lagi, para peneliti di firma keamanan Praetorian memperingatkan kelemahan keamanan ketiga yang terpisah di Log4j versi 2.15.0 yang dapat “memungkinkan eksfiltrasi data sensitif dalam keadaan tertentu.” Rincian teknis tambahan dari cacat telah dirahasiakan untuk mencegah eksploitasi lebih lanjut, tetapi belum jelas apakah ini telah diatasi dalam versi 2.16.0.

Perkembangan terbaru datang ketika kelompok ancaman persisten canggih dari China, Iran, Korea Utara, dan Turki, termasuk Hafnium dan Fosfor, telah terjun ke medan untuk mengoperasionalkan kerentanan dan menemukan dan terus mengeksploitasi sebanyak mungkin sistem yang rentan untuk serangan lanjutan. Lebih dari 1,8 juta upaya untuk mengeksploitasi kerentanan Log4j telah dicatat sejauh ini.

Meskipun biasanya pelaku ancaman melakukan upaya untuk mengeksploitasi kerentanan yang baru diungkapkan sebelum diperbaiki, kelemahan Log4j menggarisbawahi risiko yang timbul dari rantai pasokan perangkat lunak ketika bagian utama dari perangkat lunak digunakan dalam berbagai produk di beberapa vendor dan disebarkan oleh pelanggan mereka di seluruh dunia.

Selengkapnya: The Hacker News

Analisis: Kerentanan Log4j Menyoroti Nilai Defense-in-Depth, Inventaris Akurat

December 17, 2021 by Winnie the Pooh

Banyak tim keamanan telah bekerja keras selama beberapa hari terakhir untuk menilai dan mengatasi paparan organisasi mereka terhadap CVE-2021-44228, alias “Log4Shell,” sebuah kelemahan yang diungkapkan dalam library logging berbasis Java Log4j yang populer.

Insiden ini adalah satu lagi dalam rangkaian panjang serangan rantai pasokan, kemungkinan besar melampaui kompromi rantai pasokan perangkat lunak SolarWinds pada akhir 2020 dalam hal dampak keseluruhannya.

Ini menyoroti nilai besar dari inventaris yang akurat dan tepat waktu, pada berbagai tingkat abstraksi. Secara khusus, terkait dengan Log4j, tantangannya signifikan; adalah perpustakaan yang digunakan secara luas yang sering kali tidak hanya ada di banyak sistem tetapi juga dapat dipanggil dari lokasi yang berbeda.

Dengan inventaris komponen perangkat lunak, pembuat perangkat lunak dapat mengambil langkah-langkah untuk mengidentifikasi masalah ini dengan cepat, dan salah satu metode tersebut adalah konsep yang disebut software bill of materials (SBOM) — deskripsi yang akurat, tepat waktu, dan mudah dikonsumsi dari blok bangunan dasar komponen perangkat lunak.

Untuk vendor, SBOM dapat membantu mereka mendapatkan informasi tepat waktu kepada pelanggan mereka tentang apakah produk tertentu terpengaruh. Untuk pengguna akhir, memiliki SBOM yang tepat untuk aplikasi utama secara signifikan memperpendek siklus triase, karena mereka berpotensi mengambil tindakan untuk membatasi akses ke aplikasi yang terpengaruh, atau bahkan menjadikannya offline, hingga perbaikan tersedia.

Prinsip-prinsip keamanan yang telah terbukti, seperti defense-in-depth dan hak istimewa yang paling rendah, juga memiliki peran yang kuat untuk dimainkan. Banyak tim keamanan memahami konsep ini dengan baik dan ingin menerapkannya pada perangkat lunak dan penyebaran solusi organisasi mereka, tetapi mereka sering mendapat penolakan dari pemangku kepentingan lain, atau kekurangan sumber daya untuk menerapkannya.

Hak istimewa terendah juga memainkan peran kunci, di tingkat host, aplikasi, dan jaringan. Di tingkat host, hak istimewa dan kemampuan aktual apa yang benar-benar dibutuhkan oleh proses yang memanfaatkan Log4j? Semakin, penggunaan prinsip-prinsip hak istimewa paling rendah ditambah pemantauan perilaku bersama perlindungan runtime dapat bertindak sebagai kombinasi yang kuat untuk menahan dampak dari sistem yang dieksploitasi.

Selengkapnya: Dark Reading

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings