AT&T

Malware tersembunyi baru yang menargetkan Linux

September 7, 2022 by Eevee

Malware Linux baru yang dikenal sebagai Shikitega telah ditemukan menginfeksi komputer dan perangkat IoT dengan muatan tambahan.

Malware ini mengeksploitasi kerentanan untuk meningkatkan hak istimewanya, menambahkan persistensi pada host melalui crontab, dan akhirnya meluncurkan penambang cryptocurrency pada perangkat yang terinfeksi.

Shikitega berhasil menghindari deteksi anti-virus menggunakan encoder polimorfik yang membuat deteksi statis berbasis tanda tangan menjadi tidak mungkin.

Para peneliti di AT&T mengatakan malware menggunakan rantai infeksi multi-langkah di mana setiap lapisan hanya mengirimkan beberapa ratus byte, mengaktifkan modul sederhana dan kemudian pindah ke yang berikutnya.

Infeksi dimulai dengan file ELF 370 byte, yang merupakan penetes yang berisi kode shell yang disandikan.

File ELF yang memulai rantai infeksi (AT&T)

Pengkodean dilakukan menggunakan enkoder umpan balik aditif XOR polimorfik ‘Shikata Ga Nai,’ yang sebelumnya dianalisis oleh Mandiant.

“Dengan menggunakan encoder, malware berjalan melalui beberapa loop decode, di mana satu loop mendecode lapisan berikutnya hingga payload shellcode terakhir didekodekan dan dieksekusi,” lanjut laporan tersebut.

Setelah dekripsi selesai, shellcode dieksekusi untuk menghubungi command and control server (C2) malware dan menerima shellcode (perintah) tambahan yang disimpan dan dijalankan langsung dari memori.

Salah satu dari perintah ini mengunduh dan menjalankan ‘Mettle,’ muatan Metasploit Meterpreter kecil dan portabel yang memberi penyerang lebih jauh kendali jarak jauh dan opsi eksekusi kode pada host.

Mettle mengambil file ELF yang lebih kecil, yang mengeksploitasi CVE-2021-4034 (alias PwnKit) dan CVE-2021-3493 untuk meningkatkan hak istimewa dan mengunduh payload tahap akhir, penambang cryptocurrency, sebagai root.

Kegigihan untuk penambang crypto dicapai dengan mengunduh lima skrip shell yang menambahkan empat cronjobs, dua untuk pengguna root dan dua untuk pengguna saat ini.

Crontab adalah mekanisme persistensi yang efektif, sehingga semua file yang diunduh dihapus untuk mengurangi kemungkinan malware ditemukan.

Penambang kripto adalah XMRig versi 6.17.0, berfokus pada penambangan Monero yang berfokus pada anonimitas dan sulit dilacak.

Ikhtisar rantai infeksi Shikitega (AT&T)

Untuk lebih mengurangi kemungkinan meningkatkan alarm pada produk keamanan jaringan, aktor ancaman di belakang Shikitega menggunakan layanan hosting cloud yang sah untuk meng-host infrastruktur komando dan kontrol mereka.

Tim AT&T melaporkan peningkatan tajam dalam malware Linux tahun ini, menyarankan admin sistem untuk menerapkan pembaruan keamanan yang tersedia, menggunakan EDR di semua endpoint, dan membuat cadangan rutin untuk data penting.

Sumber : Bleeping Computer

Aplikasi Facebook dan Instagram Dapat Melacak Pengguna Melalui Browser dalam Aplikasi Mereka

August 15, 2022 by Eevee

Jika Anda mengunjungi situs web yang Anda lihat di Facebook dan Instagram, Anda mungkin memperhatikan bahwa Anda tidak diarahkan ke browser pilihan Anda melainkan browser dalam aplikasi khusus. Ternyata browser tersebut menyuntikkan kode javascript ke setiap situs web yang dikunjungi, memungkinkan induk Meta untuk berpotensi melacak Anda di seluruh situs web, peneliti Felix Krause telah menemukan.

“Aplikasi Instagram menyuntikkan kode pelacakan mereka ke setiap situs web yang ditampilkan, termasuk saat mengklik iklan, memungkinkan mereka [untuk] memantau semua interaksi pengguna, seperti setiap tombol dan tautan yang diketuk, pilihan teks, tangkapan layar, serta input formulir apa pun, seperti kata sandi, alamat dan nomor kartu kredit,” kata Krause dalam sebuah posting blog.

Penelitiannya berfokus pada Facebook dan Instagram versi iOS. Itu kuncinya karena Apple memungkinkan pengguna untuk memilih masuk atau keluar dari pelacakan aplikasi ketika mereka pertama kali membuka aplikasi, melalui Transparansi Pelacakan Aplikasi (ATT) yang diperkenalkan di iOS 14.5. Meta sebelumnya telah mengatakan bahwa fitur tersebut adalah “penghambat bisnis kami 2022… pada urutan $ 10 miliar.”

Meta mengatakan bahwa kode pelacakan yang disuntikkan mematuhi preferensi pengguna pada ATT. “Kode ini memungkinkan kami untuk mengumpulkan data pengguna sebelum menggunakannya untuk tujuan periklanan atau pengukuran yang ditargetkan,” kata seorang juru bicara kepada The Guardian. “Kami tidak menambahkan piksel apa pun. Kode dimasukkan sehingga kami dapat menggabungkan peristiwa konversi dari piksel. Untuk pembelian yang dilakukan melalui browser dalam aplikasi, kami meminta persetujuan pengguna untuk menyimpan informasi pembayaran untuk tujuan pengisian otomatis.”

Krause mencatat bahwa Facebook tidak selalu menggunakan injeksi javascript untuk mengumpulkan data sensitif. Namun, jika aplikasi membuka browser pilihan pengguna seperti Safari atau Firefox, tidak akan ada cara untuk melakukan injeksi javascript serupa di situs aman mana pun. Sebaliknya, pendekatan yang digunakan oleh browser dalam aplikasi Instagram dan Facebook “berfungsi untuk situs web apa pun, tidak peduli apakah itu dienkripsi atau tidak,” katanya.

Menurut penelitian Krause, WhatsApp tidak memodifikasi situs web pihak ketiga dengan cara yang sama. Karena itu, ia menyarankan agar Meta melakukan hal yang sama dengan Facebook dan Instagram, atau cukup gunakan Safari atau browser lain untuk membuka tautan. “Itu yang terbaik bagi pengguna, dan hal yang benar untuk dilakukan.” Untuk lebih lanjut, lihat ringkasan temuannya di sini.

Sumber: Endgadget

Botnet EwDoor menargetkan perangkat tepi jaringan AT&T di perusahaan AS

December 1, 2021 by Eevee

Botnet yang baru-baru ini ditemukan menyerang perangkat tepi jaringan perusahaan AT&T yang belum ditambal menggunakan eksploitasi untuk kelemahan keamanan Blind Command Injection.

Botnet yang dijuluki EwDoor oleh peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), menargetkan pelanggan AT&T yang menggunakan perangkat edge EdgeMarc Enterprise Session Border Controller (ESBC).

Peralatan EdgeMarc mendukung VoIP dan lingkungan data berkapasitas tinggi, menjembatani kesenjangan antara jaringan perusahaan dan penyedia layanan mereka, dalam hal ini, operator AT&T.

Namun, ini juga mengharuskan perangkat untuk terbuka secara publik ke Internet, meningkatkan keterpaparan mereka terhadap serangan jarak jauh.

360 Netlab melihat botnet pada 27 Oktober ketika serangan pertama yang menargetkan perangkat Edgewater Networks yang terpapar Internet yang belum ditambal terhadap kerentanan kritis CVE-2017-6079 dimulai.

Para peneliti dapat melihat sekilas ukuran botnet dengan mendaftarkan salah satu domain command-and-control (C2) cadangannya dan memantau permintaan yang dibuat dari perangkat yang terinfeksi.

Selama tiga jam sebelum operator botnet beralih ke model komunikasi jaringan C2 yang berbeda, 360 Netlab dapat melihat sekitar 5.700 perangkat yang terinfeksi.

“Dengan memeriksa kembali sertifikat SSL yang digunakan oleh perangkat ini, kami menemukan bahwa ada sekitar 100 ribu IP yang menggunakan sertifikat SSL yang sama. Kami tidak yakin berapa banyak perangkat yang sesuai dengan IP ini yang dapat terinfeksi, tetapi kami dapat berspekulasi bahwa itu milik mereka. untuk kelas perangkat yang sama, kemungkinan dampaknya adalah nyata.”

360 Netlab mengatakan botnet kemungkinan digunakan untuk meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan sebagai pintu belakang untuk mendapatkan akses ke jaringan target.

Saat ini botnet memiliki enam fitur utama: pembaruan sendiri, pemindaian port, manajemen file, serangan DDoS, shell terbalik, dan eksekusi perintah sewenang-wenang pada server yang disusupi.

“Berdasarkan perangkat yang diserang terkait komunikasi telepon, kami menganggap bahwa tujuan utamanya adalah serangan DDoS, dan pengumpulan informasi sensitif, seperti log panggilan.”

EwDoor menggunakan enkripsi TLS untuk memblokir upaya intersepsi lalu lintas jaringan dan mengenkripsi sumber daya untuk memblokir analisis malware.

Detail teknis tambahan tentang botnet EwDoor dan indikator kompromi (IOC), termasuk domain C2 dan hash sampel malware, dapat ditemukan di laporan 360 Netlab.

Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

AT&T

Cookies Settings