News 275 - Naga Cyber Defense

FamousSparrow APT Memata-matai Hotel, Pemerintah

September 27, 2021 by Winnie the Pooh

Sebuah kelompok mata-mata siber yang dijuluki “FamousSparrow” oleh para peneliti telah meluncur, menargetkan hotel, pemerintah, dan organisasi swasta di seluruh dunia dengan backdoor khusus yang disebut, “SparrowDoor.” Ini adalah salah satu ancaman persisten tingkat lanjut (APT) yang menargetkan kerentanan ProxyLogon awal tahun ini, menurut ESET, meskipun aktivitasnya baru-baru ini terungkap.

Menurut perusahaan, backdoor memiliki kemampuan untuk: mengganti nama atau menghapus file; membuat direktori; mematikan proses; mengirim informasi seperti atribut file, ukuran file, dan waktu penulisan file; mengekstrak konten file tertentu; menulis data ke file tertentu; atau membuat reverse shell interaktif. Ada juga tombol pemutus untuk menghapus pengaturan persistensi dan semua file SparrowDoor dari mesin korban.

“Penargetan, yang mencakup pemerintah di seluruh dunia, menunjukkan bahwa niat FamousSparrow adalah spionase,” catat para peneliti.

Bug eksekusi kode jarak jauh (RCE) ProxyLogon diungkapkan pada bulan Maret, dan digunakan oleh lebih dari 10 grup APT untuk membuat akses melalui kode shell ke server email Exchange di seluruh dunia dalam serangkaian serangan.

Dalam kasus FamousSparrow, ia menggunakan bug untuk menyebarkan SparrowDoor, yang telah terlihat dalam serangan lain (banyak di antaranya terhadap hotel), menurut ESET. Kampanye tambahan ini telah terjadi sebelum dan sesudah ProxyLogon, dan dimulai pada Agustus 2019, catat para peneliti.

Ketika mereka dapat menentukan vektor kompromi awal, para peneliti menemukan bahwa modus operandi FamousSparrow tampaknya merupakan eksploitasi aplikasi web yang rentan terhadap internet.

FamousSparrow terutama menargetkan hotel, tetapi ESET mengamati target di sektor lain, termasuk pemerintahan, organisasi internasional, perusahaan teknik, dan firma hukum.

Selengkapnya: The Threat Post

Operasi Phishing-as-a-Service Skala Besar Terkena

September 27, 2021 by Winnie the Pooh

Microsoft menemukan operasi phishing-as-a-service (PhaaS) berskala besar, terorganisir dengan baik, dan canggih.

Platform turnkey memungkinkan pengguna untuk menyesuaikan kampanye dan mengembangkan taktik phishing mereka sendiri sehingga mereka kemudian dapat menggunakan platform PhaaS untuk membantu kit phishing, template email, dan layanan hosting yang diperlukan untuk meluncurkan serangan.

Peneliti Microsoft menemukan operasi tersebut, yang dipasarkan oleh penjahat sebagai BulletProofLink, ketika mereka menemukan volume tinggi subdomain yang baru dibuat dan unik—lebih dari 300.000 dalam sekali jalan, menurut sebuah pos yang diterbitkan oleh Tim Defender Threat Intelligence Microsoft 365.

“Penyelidikan ini membawa kami ke lubang kelinci saat kami menemukan salah satu operasi yang memungkinkan kampanye tersebut,” tulis para peneliti.

Dengan lebih dari 100 template phishing yang tersedia yang meniru merek dan layanan terkenal—termasuk Microsoft sendiri—operasi BulletProofLink bertanggung jawab atas banyak kampanye phishing yang berdampak pada perusahaan saat ini, kata mereka.

BulletProofLink—juga dikenal sebagai BulletProftLink atau Anthrax oleh operatornya di berbagai situs web, iklan, dan materi promosi lainnya—memberikan titik awal bagi orang-orang tanpa sumber daya yang signifikan untuk masuk ke bisnis phishing.

Para peneliti mempelajari lebih dalam mengenai operasi PhaaS BulletProofLink untuk mengungkap bagaimana grup tersebut telah menciptakan jaringan phisher yang berkembang pesat.

Biaya layanan bulanan sebanyak $800, sementara layanan lain berharga sekitar $50 dolar untuk tautan hosting satu kali, dengan Bitcoin menjadi metode pembayaran umum di situs BulletProofLink.

Poin menarik tentang model kerja PhaaS yang digunakan BulletProofLink adalah model ini mengikuti metode pemerasan ganda model RaaS—atau dalam hal ini, “pencurian ganda”, seperti yang dijelaskan para peneliti. Grup tersebut menyertakan lokasi sekunder dalam kit phishingnya untuk kredensial yang akan dikirim setelah diperoleh.

Sumber: The Threat Post

Bug zero-day macOS baru memungkinkan penyerang menjalankan perintah dari jarak jauh

September 27, 2021 by Winnie the Pooh

Peneliti keamanan mengungkapkan kerentanan baru di MacOS Finder Apple, yang memungkinkan penyerang menjalankan perintah di Mac yang menjalankan versi macOS apa pun hingga rilis terbaru, Big Sur.

Bug, yang ditemukan oleh peneliti keamanan independen Park Minchan, disebabkan oleh cara macOS memproses file inetloc, yang secara tidak sengaja menyebabkannya menjalankan perintah apa pun yang disematkan oleh penyerang tanpa peringatan apa pun.

Di macOS, file lokasi Internet dengan ekstensi .inetloc adalah penanda seluruh sistem yang dapat digunakan untuk membuka sumber daya online (news://, ftp://, afp://) atau file lokal (file://).

“Kerentanan di macOS Finder memungkinkan file yang ekstensinya inetloc untuk menjalankan perintah arbitrer,” advisory SSD Secure Disclosure mengungkapkan.

“File-file ini dapat disematkan di dalam email yang jika pengguna mengkliknya akan menjalankan perintah yang tertanam di dalamnya tanpa memberikan prompt atau peringatan kepada pengguna.”

Sementara Apple diam-diam memperbaiki masalah tanpa menetapkan nomor identifikasi CVE, seperti yang ditemukan kemudian oleh Minchan, patch Apple hanya mengatasi sebagian kekurangannya karena masih dapat dieksploitasi dengan mengubah protokol yang digunakan untuk menjalankan perintah yang disematkan dari file:// ke File://.

Meskipun peneliti tidak memberikan informasi apa pun tentang bagaimana penyerang dapat menyalahgunakan bug ini, bug ini berpotensi digunakan oleh pelaku ancaman untuk membuat lampiran email berbahaya yang dapat meluncurkan paket atau muatan jarak jauh saat dibuka oleh target.

Seumber: Bleeping Computer

REvil Mengkonfirmasi Adanya Kecurangan Pembayaran Tebusan Ransomware

September 27, 2021 by Winnie the Pooh

Sehari setelah tersiar kabar tentang REvil yang telah mengacaukan afiliasi mereka sendiri dari pembayaran ransomware – dengan menggunakan obrolan ganda dan pintu belakang yang memungkinkan operator REvil membajak pembayaran tebusan – afiliasi-afiliasi tersebut turun ke forum peretasan berbahasa Rusia teratas untuk memperbarui tuntutan mereka agar REvil membayar bagian mereka yang dicuri dari pembayaran tebusan.

Advanced Intelligence, firma intelijen ancaman yang mengungkapkan pintu belakang dan obrolan ganda, mengatakan kepada Threatpost pada hari Kamis bahwa aktor terkenal dengan reputasi mapan di forum peretasan bahasa Rusia – Exploit – menggunakan temuan laporan AdvIntel untuk merevitalisasi klaim yang diajukan pada bulan Mei terhadap REvil di bawah tanah Rusia.

Cara operasi ransomware-as-a-service (RaaS) seperti REvil atau DarkSide bekerja adalah bahwa afiliasi melakukan semua pekerjaan kotor kompromi jaringan, dengan imbalan (dalam kasus REvil RaaS asli) 70 persen dari tebusan apa pun yang ditebus oleh para korban.

REvil seharusnya mengantongi sisa 30 persen saja – dan hanya sebanyak itu – dari pembayaran tebusan, sebagai imbalan untuk menyediakan muatan ransomware yang digunakan afiliasi untuk menguasai data dan sistem korban.

Tetapi ketika negosiasi tiba-tiba, secara misterius runtuh dan afiliasi dibiarkan dalam kesulitan, mereka mulai curiga, dan mereka beralih ke arbitrase versi bawah tanah.

Menurut Yelisey Boguslavskiy dari AdvIntel – kepala penelitian di perusahaan pencegahan risiko dunia maya – afiliasi yang ditipu telah mengambil rute itu pada Mei 2021, berusaha untuk mendapatkan kembali $ 21,5 juta USD dari REvil karena diduga menipu mereka.

Pengulangan aktor ancaman itu mengkonfirmasi asumsi AdvIntel: Kepemimpinan REvil memang menciptakan pintu belakang yang memungkinkan mereka untuk memotong negosiasi tebusan antara korban dan afiliasi geng itu sendiri, untuk menjalankan obrolan ganda yang memungkinkan kepemimpinan berpura-pura sebagai korban yang menyerah di tengah-tengah negosiasi, dan kemudian masuk untuk melanjutkan negosiasi, memotong afiliasi dari kesepakatan, dan mengantongi seluruh pembayaran tebusan.

Selengkapnya: The Threat Post

100M Perangkat IoT Memiliki Bug Zero-Day

September 27, 2021 by Winnie the Pooh

Cacat dalam kode infrastruktur internet-of-things (IoT) yang banyak digunakan membuat lebih dari 100 juta perangkat di 10.000 perusahaan rentan terhadap serangan.

Para peneliti di Guardara menggunakan teknologi mereka untuk menemukan kerentanan zero-day di NanoMQ, platform open-source dari EMQ yang memantau perangkat IoT secara real time, kemudian bertindak sebagai “perantara pesan” untuk menyampaikan peringatan bahwa aktivitas atipikal telah terdeteksi.

Produk EMQ digunakan untuk memantau kesehatan pasien yang meninggalkan rumah sakit, mendeteksi kebakaran, memantau sistem mobil, dalam jam tangan pintar, dalam aplikasi smart city, dan banyak lagi.

CEO Guardara Mitali Rakhit mengatakan kepada Threatpost bahwa kerentanan diberi skor CVSS 7.1, menjadikannya tingkat keparahan yang tinggi.

Bug ini disebabkan oleh pembatasan operasi yang tidak tepat dalam batas buffer memori (CWE-119).

Zsolt Imre dari Guardara menjelaskan di GitHub bahwa masalahnya ada pada panjang paket MQTT. MQTT adalah standar protokol perpesanan untuk IoT, dirancang sebagai transportasi perpesanan publish/subscribe yang sangat ringan untuk menghubungkan perangkat jarak jauh dengan jejak kode kecil, yang membutuhkan bandwidth jaringan minimal.

Dengan demikian, MQTT digunakan di berbagai industri yang menggunakan sensor pintar bandwidth rendah, seperti otomotif, manufaktur, telekomunikasi, minyak dan gas, dan sebagainya.

Dalam implementasi NanoMQ, “ketika panjang paket MQTT diubah dan lebih rendah dari yang diharapkan, operasi ‘memcpy’ menerima nilai ukuran yang membuat lokasi buffer sumber menunjuk ke atau ke area memori yang tidak terisi,” tulis Imre. “Akibatnya, NanoMQ crash.”

Semua penyerang akan perlu untuk mengeksploitasi kerentanan dan sistem crash adalah jaringan dasar dan keterampilan scripting, Rakhit menambahkan.

Jenis serangan penolakan layanan ini bisa sangat berbahaya karena memengaruhi ketersediaan peralatan yang sangat penting.

Selengkapnya: The Threat Post

Google Peringatkan Cara Baru Peretas Dapat Membuat Malware Tidak Terdeteksi di Windows

September 27, 2021 by Winnie the Pooh

Peneliti keamanan siber telah mengungkapkan teknik baru yang diadopsi oleh aktor siber untuk secara sengaja menghindari deteksi dengan bantuan tanda tangan digital yang cacat dari muatan malware-nya.

“Penyerang membuat tanda tangan kode cacat yang dianggap valid oleh Windows tetapi tidak dapat didekodekan atau diperiksa oleh kode OpenSSL – yang digunakan dalam sejumlah produk pemindaian keamanan,” Neel Mehta dari Google Threat Analysis Group mengatakan dalam sebuah tulisan yang diterbitkan pada hari Kamis.

Mekanisme baru ini diamati dieksploitasi oleh keluarga terkenal dari Unwanted Software yang dikenal sebagai OpenSUpdater yang digunakan untuk mengunduh dan menginstal program mencurigakan lainnya pada sistem yang disusupi.

Sebagian besar target kampanye adalah pengguna yang berada di A.S. yang cenderung mengunduh versi game yang sudah di-crack dan perangkat lunak ilegal lainnya.

Temuan ini berasal dari sekumpulan sampel OpenSUpdater yang diunggah ke VirusTotal setidaknya sejak pertengahan Agustus.

Sementara musuh di masa lalu mengandalkan sertifikat digital yang diperoleh secara ilegal untuk menyelinap adware dan perangkat lunak lain yang tidak diinginkan melewati alat pendeteksi malware atau dengan menyematkan kode serangan ke dalam tanda tangan digital, komponen perangkat lunak tepercaya dengan meracuni rantai pasokan perangkat lunak, OpenSUpdater menonjol karena penggunaan tanda tangan cacat yang disengaja untuk lolos dari pertahanan.

Sumber: The Hacker News

China Memperluas Larangan Transaksi Crypto; Bitcoin Jatuh

September 27, 2021 by Winnie the Pooh

China melarang semua transaksi kripto dan berjanji untuk membasmi penambangan aset digital, memberikan pukulan terberat bagi industri.

Transaksi terkait Crypto akan dianggap sebagai aktivitas keuangan terlarang, termasuk layanan yang disediakan oleh bursa luar negeri, People’s Bank of China mengatakan di situs webnya. Ia menambahkan bahwa cryptocurrency, termasuk Bitcoin dan Tether, bukan mata uang fiat dan tidak dapat diedarkan.

Bitcoin merosot setelah pengumuman tersebut, turun 8% menjadi sekitar $41.000 pada pukul 9 pagi di New York.

Pejabat China melangkah lebih jauh untuk membasmi perdagangan crypto karena hubungannya dengan penipuan, pencucian uang, dan penggunaan energi yang berlebihan. China sudah memiliki aturan yang melarang bank menawarkan layanan terkait kripto. Untuk menyiasati aturan tersebut, pedagang telah pindah ke platform over-the-counter dan offshore exchanges.

Tindakan keras baru China terhadap penambangan kripto dan aktivitas perdagangan dimulai pada bulan Mei. Itu adalah pertama kalinya pejabat tinggi memilih penambangan crypto di tingkat nasional sejak menjatuhkannya pada 2019 dari daftar industri kotor yang diusulkan untuk dihapuskan.

Langkah ini menyebabkan jatuhnya harga crypto, dengan Bitcoin kehilangan sekitar setengah nilainya antara April dan Juli tahun ini. Sementara pasar telah pulih, masih jauh di bawah level tertinggi sepanjang masa di $63.000.

Sumber: Bloomberg

Microsoft Autodiscover disalahgunakan untuk mengumpulkan kredensial

September 27, 2021 by Winnie the Pooh

Para peneliti menemukan sebuah “kesalahan desain” dalam protokol Microsoft Autodiscover yang dapat memanen kredensial domain.

Pada hari Rabu, AVP Riset Keamanan Guardicore Labs Amit Serper menerbitkan hasil analisis Autodiscover, protokol yang digunakan untuk mengautentikasi ke server Microsoft Exchange dan untuk mengonfigurasi akses klien.

Ada iterasi berbeda dari protokol yang tersedia untuk digunakan. Guardicore menjelajahi implementasi Autodiscover berdasarkan POX XML dan menemukan “kesalahan desain” yang dapat dieksploitasi untuk ‘membocorkan’ permintaan web ke domain Autodiscover di luar domain pengguna, selama mereka berada di top-level (TLD) domain yang sama.

Untuk menguji protokol, tim terlebih dahulu mendaftarkan dan membeli sejumlah domain dengan akhiran TLD, termasuk Autodiscover.com.br, Autodiscover.com.cn, Autodiscover.com.fr, dan Autodiscover.com.uk, dan seterusnya.

Domain-domain ini kemudian ditugaskan ke server web Guardicore, dan para peneliti mengatakan bahwa mereka “hanya menunggu permintaan web untuk berbagai endpoint Autodiscover tiba.”

Secara total, Guardicore mampu menangkap 372.072 kredensial domain Windows dan 96.671 set kredensial unik dari sumber termasuk Microsoft Outlook dan klien email antara 16 April dan 25 Agustus 2021. Beberapa set dikirim melalui otentikasi dasar HTTP.

Untuk memitigasi masalah ini, Guardicore mengatakan bahwa domain TLD Autodiscover harus diblokir oleh firewall, dan ketika setup Exchange sedang dikonfigurasi, dukungan untuk otentikasi dasar harus dinonaktifkan — karena ini “sama seperti mengirim kata sandi dalam teks yang jelas melalui wire.”

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings