Backdoor

Supply Chain Risk Dari Backdoor App Center Gigabyte

June 2, 2023 by Søren

Belakangan ini, platform Eclypsium telah mendeteksi perilaku yang mencurigakan mirip backdoor dalam sistem-sistem Gigabyte yang beredar di luar sana. Deteksi ini didorong oleh metode deteksi heuristik, yang memainkan peran penting dalam mendeteksi ancaman rantai pasok baru yang sebelumnya tidak diketahui, di mana produk atau pembaruan teknologi pihak ketiga yang sah telah diretas.

Analisis lanjutan kami menemukan bahwa firmware dalam sistem-sistem Gigabyte menjalankan dan mengeksekusi file eksekusi Windows saat proses startup sistem, dan file tersebut kemudian mengunduh dan mengeksekusi payload tambahan secara tidak aman.

Hal ini menggunakan teknik yang sama dengan fitur mirip backdoor OEM lainnya seperti Computrace backdoor (juga dikenal sebagai LoJack DoubleAgent) yang disalahgunakan oleh pelaku ancaman dan bahkan firmware implant seperti Sednit LoJax, MosaicRegressor, Vector-EDK.

Analisis lebih lanjut menunjukkan bahwa kode yang sama ini ada dalam ratusan model PC Gigabyte. Kami sedang bekerja dengan Gigabyte untuk mengatasi implementasi yang tidak aman dari kemampuan pusat aplikasi mereka.

RISIKO DAN DAMPAK

Masalah ini mengekspos organisasi terhadap berbagai risiko dan skenario serangan:

Penyalahgunaan backdoor OEM oleh threat actor
Kompromi infrastruktur pembaruan OEM dan rantai pasokan
Persistensi menggunakan UEFI Rootkit dan Implan
Serangan MITM pada firmware dan fitur pembaruan perangkat lunak

REKOMENDASI

Berikut adalah daftar tindakan pencegahan yang disarankan untuk mengurangi risiko penggunaan sistem Gigabyte atau sistem dengan motherboard terkena dampak:

Pindai dan monitor sistem serta pembaruan firmware untuk mendeteksi sistem Gigabyte yang terkena dampak dan alat-alat serupa backdoor yang tertanam di dalam firmware. Perbarui sistem ke firmware dan perangkat lunak terbaru yang telah divalidasi untuk mengatasi masalah keamanan seperti ini.
Periksa dan nonaktifkan fitur “APP Center Download & Install” di UEFI/BIOS Setup pada sistem Gigabyte, serta atur kata sandi BIOS untuk mencegah perubahan yang berbahaya.
Administrator juga dapat memblokir URL berikut:

Harap diingat bahwa ini adalah tindakan pencegahan umum yang direkomendasikan. Penting untuk mengikuti petunjuk resmi yang diberikan oleh Gigabyte dan vendor perangkat keras lainnya untuk mengatasi masalah ini dengan benar. Selalu perbarui firmware dan perangkat lunak Anda dari sumber yang tepercaya, serta lakukan pemindaian keamanan secara berkala untuk mendeteksi ancaman potensial.

Selengkapnya: Eclypsium

Peretas membuka pintu belakang server Microsoft IIS dengan malware Frebniis baru

February 17, 2023 by Søren

Peretas menyebarkan malware baru bernama ‘Frebniss’ di Layanan Informasi Internet (IIS) Microsoft yang diam-diam mengeksekusi perintah yang dikirim melalui permintaan web.

Frebniis ditemukan oleh Tim Pemburu Ancaman Symantec, yang melaporkan bahwa aktor ancaman tak dikenal saat ini menggunakannya untuk melawan target yang berbasis di Taiwan.

Microsoft IIS adalah perangkat lunak server web yang berfungsi sebagai server web dan platform hosting aplikasi web untuk layanan seperti Outlook di Web untuk Microsoft Exchange.

Dalam serangan yang dilihat oleh Symantec, peretas menyalahgunakan fitur IIS yang disebut ‘Failed Request Event Buffering’ (FREB), yang bertanggung jawab untuk mengumpulkan metadata permintaan (alamat IP, header HTTP, cookie). Tujuannya adalah untuk membantu admin server memecahkan masalah kode status HTTP yang tidak terduga atau meminta masalah pemrosesan.

Malware menyuntikkan kode berbahaya ke dalam fungsi tertentu dari file DLL yang mengontrol FREB (“iisfreb.dll”) untuk memungkinkan penyerang mencegat dan memantau semua permintaan HTTP POST yang dikirim ke server ISS. Saat malware mendeteksi permintaan HTTP tertentu yang dikirim penyerang, ia mem-parsing permintaan untuk menentukan perintah apa yang akan dijalankan di server.

Symantec mengatakan bahwa pelaku ancaman pertama-tama harus menembus server IIS untuk mengkompromikan modul FREB, tetapi mereka tidak dapat menentukan metode yang digunakan untuk mendapatkan akses pada awalnya.

Kode yang disuntikkan adalah pintu belakang .NET yang mendukung proksi dan eksekusi kode C# tanpa pernah menyentuh disk, membuatnya benar-benar tersembunyi. Itu mencari permintaan yang dibuat ke halaman logon.aspx atau default.aspx dengan parameter kata sandi tertentu.

Parameter HTTP kedua, yang merupakan string yang disandikan base64, menginstruksikan Frebniis untuk berkomunikasi dan menjalankan perintah pada sistem lain melalui IIS yang disusupi, yang berpotensi menjangkau sistem internal yang dilindungi yang tidak terpapar ke internet.

Selengkapnya: Bleeping Computer

Entitas Pemerintah Iran Diserang oleh Gelombang Baru Serangan Diplomasi Backdoor

January 20, 2023 by Flamango

Aktor ancaman yang dikenal sebagai BackdoorDiplomacy telah dikaitkan dengan gelombang serangan baru yang menargetkan entitas pemerintah Iran antara Juli dan akhir Desember 2022.

Palo Alto Networks Unit 42 melacak aktivitas di bawah moniker bertema konstelasi Playful Taurus. Pihaknya mengamati domain pemerintah yang mencoba terhubung ke infrastruktur malware yang sebelumnya diidentifikasi terkait dengan musuh.

Pada Desember 2021, Microsoft mengumumkan penyitaan 42 domain yang dioperasikan oleh grup tersebut dalam serangannya yang menargetkan 29 negara.

Pelaku ancaman baru-baru ini dikaitkan dengan serangan terhadap perusahaan telekomunikasi yang tidak disebutkan namanya di Timur Tengah menggunakan Quarian, pendahulu Turian yang memungkinkan titik akses jarak jauh ke jaringan yang ditargetkan.

Backdoor Turian dalam versi barunya menampilkan kebingungan tambahan serta algoritma dekripsi yang diperbarui yang digunakan untuk mengekstrak server C2. Namun, malware itu sendiri bersifat umum karena menawarkan fungsi dasar untuk memperbarui server C2 agar terhubung, menjalankan perintah, dan menelurkan shell terbalik.

BackdoorDiplomacy menargetkan Iran karena alasan ekstensi geopolitik yang datang dengan latar belakang perjanjian bilateral komprehensif 25 tahun yang ditandatangani antara China dan Iran untuk mendorong kerja sama ekonomi, militer, dan keamanan.

Selengkapnya: The Hacker News

Backdoor Baru Dibuat Menggunakan Bocoran Malware Sarang CIA yang Ditemukan di Alam Liar

January 17, 2023 by Flamango

Pelaku ancaman tak dikenal telah menyebarkan backdoor baru yang meminjam fitur-fiturnya dari suite malware multi-platform Hive Central Intelligence Agency (CIA), yang kode sumbernya dirilis oleh WikiLeaks pada November 2017.

Hal baru bagi Qihoo Netlab 360 dalam menangkap varian kit serangan CIA Hive di alam liar. Mereka memberinya nama xdr33 berdasarkan sertifikat sisi Bot yang disematkan CN=xdr33.

xdr33 disebarkan dengan mengeksploitasi kerentanan keamanan N-day yang tidak ditentukan di peralatan F5. Berkomunikasi dengan server perintah-dan-kontrol (C2) menggunakan SSL dengan sertifikat Kaspersky palsu.

Backdoor dimaksudkan untuk mengumpulkan informasi sensitif dan bertindak sebagai landasan peluncuran untuk intrusi berikutnya. Ini meningkatkan Hive dengan menambahkan instruksi dan fungsionalitas C2 baru, di antara perubahan implementasi lainnya.

Malware menggabungkan modul pemicu yang dirancang untuk menguping lalu lintas jaringan untuk paket pemicu tertentu untuk mengekstrak server C2 yang disebutkan dalam muatan paket IP, membuat koneksi, dan menunggu eksekusi perintah yang dikirim oleh C2.

Selengkapnya: The Hacker News

Geng Ransomware Lorenz Menanam Backdoor untuk Digunakan Beberapa Bulan Kemudian

January 11, 2023 by Flamango

Peneliti keamanan memperingatkan bahwa menambal kerentanan kritis yang memungkinkan akses ke jaringan tidak cukup untuk bertahan dari serangan ransomware.

Beberapa geng mengeksploitasi kelemahan untuk merencanakan backdoor. Salah satu kasus adalah serangan ransomware Lorenz yang selesai berbulan-bulan setelah peretas memperoleh akses ke jaringan korban menggunakan eksploit untuk bug kritis dalam sistem telepon.

Backdoor Dipasang Sebelum Pembaruan Keamanan
Menurut S-RM, peretas memperoleh akses awal dengan mengeksploitasi kerentanan kritis dalam infrastruktur telepon Mitel, CVE-2022-29499, memungkinkan eksekusi remote kode.

Sementara klien S-RM telah menerapkan tambalan untuk CVE-2022-29499 pada bulan Juli, peretas ransomware Lorenz bergerak lebih cepat dan mengeksploitasi kerentanan dan menanam backdoor sebelum pembaruan yang memperbaiki masalah tersebut.

Periksa Intrusi Sebelum Menerapkan Perbaikan Bug Kritis
Lorenz secara aktif kembali ke backdoor lama, memeriksa bahwa mereka masih memiliki akses dan menggunakannya untuk meluncurkan serangan ransomware.

Para peneliti mencatat bahwa memperbarui perangkat lunak ke versi terbaru pada waktu yang tepat merupakan langkah penting dalam mempertahankan jaringan. Namun dalam kasus kerentanan kritis, perusahaan juga harus memeriksa lingkungan mereka untuk upaya eksploitasi dan kemungkinan intrusi.

Selengkapnya: BleepingComputer

Malware Python Baru Membuka Server VMware ESXi Untuk Akses Jarak Jauh

December 14, 2022 by Coffee Bean

Backdoor Python yang sebelumnya tidak berdokumen menargetkan server VMware ESXi telah ditemukan, memungkinkan peretas untuk mengeksekusi perintah dari jarak jauh pada sistem yang disusupi.

VMware ESXi adalah platform virtualisasi yang biasa digunakan di perusahaan untuk menghosting banyak server di satu perangkat sambil menggunakan sumber daya CPU dan memori secara lebih efektif.

Malware secara teknis mampu menargetkan sistem Linux dan Unix, juga, analis Juniper menemukan banyak indikasi bahwa malware itu dirancang untuk menyerang ESXi.

Backdoor operation
Pintu belakang python baru menambahkan tujuh baris di dalam “/etc/rc.local.d/local.sh,” salah satu dari sedikit file ESXi yang bertahan di antara reboot dan dijalankan saat startup.

umumnya, file tersebut kosong, terlepas dari beberapa komentar penasehat dan pernyataan keluar.

Baris tambahan ditambahkan pada file ESXi (Juniper Networks)

Salah satu baris tersebut meluncurkan skrip Python yang disimpan sebagai “/store/packages/vmtools.py,” di direktori yang menyimpan image disk VM, log, dan lainnya.

Nama skrip dan lokasinya membuat Juniper Networks percaya bahwa operator malware berniat menargetkan server VMware ESXi secara khusus.

“File dimulai dengan hak cipta VMware yang konsisten dengan contoh yang tersedia untuk umum dan diambil karakter demi karakter dari file Python yang ada yang disediakan oleh VMware.”

Skrip ini meluncurkan server web yang menerima permintaan POST yang dilindungi kata sandi dari aktor ancaman jarak jauh. Permintaan ini dapat membawa payload perintah yang disandikan base-64 atau meluncurkan shell terbalik pada host.

Reverse shell membuat server yang dikompromikan memulai koneksi dengan aktor ancaman, sebuah teknik yang sering membantu melewati batasan firewall atau mengatasi konektivitas jaringan yang terbatas.

Karena file yang digunakan untuk menyetel konfigurasi baru ini, “/etc/vmware/rhttpproxy/endpoints.conf,” juga dicadangkan dan dipulihkan setelah reboot, modifikasi apa pun di dalamnya tetap ada.

Meringankan
Semua file konfigurasi yang tetap melakukan reboot harus diperiksa dengan cermat untuk melihat perubahan yang mencurigakan dan dikembalikan ke pengaturan yang benar.

Terakhir, admin harus membatasi semua koneksi jaringan yang masuk ke host tepercaya, dan pembaruan keamanan yang tersedia yang mengatasi eksploit yang digunakan untuk penyusupan awal harus diterapkan sesegera mungkin.

sumber : bleeping computer

Peretas Korea Utara Menargetkan Organisasi Eropa Dengan Malware yang Diperbarui

November 16, 2022 by Coffee Bean

Peretas Korea Utara menggunakan versi baru pintu belakang DTrack untuk menyerang organisasi di Eropa dan Amerika Latin.

DTrack adalah pintu belakang modular yang menampilkan keylogger, tangkapan layar, pengambilan riwayat browser, pengintai proses yang sedang berjalan, penjambret informasi alamat IP dan koneksi jaringan, dan banyak lagi.

Selain memata-matai, itu juga dapat menjalankan perintah untuk melakukan operasi file, mengambil muatan tambahan, mencuri file dan data, dan menjalankan proses pada perangkat yang disusupi.

Distribusi yang Lebih Luas
Sektor yang ditargetkan meliputi pusat penelitian pemerintah, lembaga kebijakan, produsen bahan kimia, penyedia layanan TI, penyedia telekomunikasi, penyedia layanan utilitas, dan pendidikan.

Dalam kampanye baru, Kaspersky telah melihat DTrack mendistribusikan menggunakan nama file yang umumnya diasosiasikan dengan executable yang sah.

Kaspersky memberi tahu BleepingComputer bahwa DTrack terus diinstal dengan menembus jaringan menggunakan kredensial curian atau mengeksploitasi server yang terpapar Internet, seperti yang terlihat pada kampanye sebelumnya.

Saat diluncurkan, malware melewati beberapa langkah dekripsi sebelum muatan terakhirnya dimuat melalui proses pelubangan ke dalam proses “explorer.exe”, berjalan langsung dari memori.

Satu-satunya perbedaan dengan varian DTrack sebelumnya adalah sekarang menggunakan API hashing untuk memuat pustaka dan fungsi alih-alih string yang dikaburkan, dan jumlah server C2 telah dipotong setengahnya menjadi hanya tiga.

Atribusi DTrack
Pada Agustus 2022, peneliti yang sama menghubungkan pintu belakang ke grup peretasan Korea Utara yang dilacak sebagai ‘Andariel’, yang menyebarkan ransomware Maui di jaringan perusahaan di AS dan Korea Selatan.

Pada Februari 2020, Dragos menghubungkan DTrack dengan kelompok ancaman Korea Utara, ‘Wassonite,’ yang menyerang fasilitas energi nuklir dan minyak dan gas.

sumber : bleeping computer

Peneliti Merinci Alat Berbahaya yang Digunakan oleh Kelompok Siber Spionase Earth Aughisky

October 11, 2022 by Winnie the Pooh

Sebuah penelitian baru telah merinci sifat perangkat malware yang semakin canggih yang digunakan oleh kelompok ancaman persisten tingkat lanjut (APT) bernama Earth Aughisky.

“Selama dekade terakhir, grup ini terus melakukan penyesuaian dalam alat dan penyebaran malware pada target tertentu yang berlokasi di Taiwan dan, baru-baru ini, Jepang,” ungkap Trend Micro dalam profil teknis minggu lalu.

Earth Aughisky, juga dikenal sebagai Taidoor, adalah kelompok siber spionase yang dikenal karena kemampuannya untuk menyalahgunakan akun, perangkat lunak, aplikasi, dan kelemahan lain yang sah dalam desain dan infrastruktur jaringan untuk tujuan mereka sendiri.

Vertikal industri yang paling sering ditargetkan termasuk pemerintah, telekomunikasi, manufaktur, alat berat, teknologi, transportasi, dan perawatan kesehatan.

Rantai serangan yang dipasang oleh grup biasanya memanfaatkan spear-phishing sebagai metode awal masuk, menggunakannya untuk menyebarkan backdoor tahap berikutnya. Yang utama di antara alat-alatnya adalah trojan akses jarak jauh yang disebut Taidoor (alias Roudan).

Beberapa pintu backdoor terkenal lainnya yang digunakan oleh Earth Aughisky selama bertahun-tahun adalah sebagai berikut:

SiyBot, backdoor dasar yang menggunakan layanan publik seperti Gubb dan 30 Box untuk command-and-control (C2)
TWTRAT, yang menyalahgunakan fitur pesan langsung Twitter untuk C2
DropNetClient (alias Buxzop), yang memanfaatkan API Dropbox untuk C2

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Backdoor

Cookies Settings