Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Backdoor

Backdoor

Perangkat FiberHome Memiliki Backdoor, Memungkinkan untuk Membuat Botnet Baru

by

FiberHome, pembuat ONT FTTH Cina mengalami beberapa kerentanan dalam dua model perangkat mereka.

Perangkat ini banyak digunakan di Asia Tenggara dan Amerika Selatan untuk konektivitas internet. Selain kerentanan umum, ada sekitar 28 backdoor yang ditemukan di perangkat, yang dapat membantu peretas menambahkannya menjadi botnet.

Minggu lalu, seorang peneliti keamanan bernama Pierre Kim telah menunjukkan beberapa kerentanan, termasuk 28 backdoor di FiberHome HG6245D dan model FiberHome RP2602 dari FiberHome ONT.

Semua ini di-hardcode ke dalam firmware perangkat, membuatnya sulit untuk dihapus dengan mudah dan menyalahkan si pembuat karena sengaja menanamnya.

Selain itu, laporan keseimbangan peneliti mengatakan bahwa, bagus bahwa FiberHome telah menonaktifkan fitur manajemen Telnet secara default dan menutup panel manajemen melalui antarmuka eksternal IPv4.

Ini adalah jalur utama yang digunakan oleh peretas untuk masuk ke perangkat dan menambahkannya ke jaringan botnet mereka. Namun, pada saat yang sama, dia mengatakan bahwa FiberHome tidak memblokir akses ke panel manajemen ini melalui antarmuka IPv6, yang memungkinkan peretas melewati panel web hanya dengan mengetahui alamat IPv6 perangkat!

Dia melaporkan hal ini pada Januari tahun lalu ke FiberHome dan tidak tahu apakah OEM telah memperbaiki salah satu kerentanan ini atau belum, karena dia tidak memeriksa versi terbaru dari model tersebut. Tapi, dia menulis daftar semua kerentanan yang ditemukan di blognya

Sumber: Techdator

Perintah Windows Finger disalahgunakan oleh phishing untuk mengunduh malware

by

Penyerang menggunakan perintah Windows Finger yang biasanya tidak berbahaya untuk mengunduh dan memasang backdoor berbahaya pada perangkat korban.

Perintah ‘Finger’ adalah utilitas yang berasal dari sistem operasi Linux/Unix yang memungkinkan pengguna lokal untuk mengambil daftar pengguna pada mesin jarak jauh atau informasi tentang pengguna jarak jauh tertentu. Selain Linux, Windows menyertakan perintah finger.exe yang menjalankan fungsi yang sama.

Minggu ini, peneliti keamanan Kirk Sayre menemukan kampanye phishing yang menggunakan perintah Finger untuk mengunduh malware backdoor MineBridge.

FireEye pertama kali melaporkan malware MineBridge setelah menemukan banyak kampanye phishing yang menargetkan organisasi Korea Selatan. Email phishing ini berisi dokumen Word berbahaya yang menyamar sebagai resume pelamar kerja yang menginstal malware MineBridge.

Seperti kampanye MineBridge sebelumnya yang dilihat oleh FireEye, yang ditemukan oleh Sayre juga berpura-pura menjadi resume dari pelamar kerja, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Ketika korban mengklik tombol ‘Enabled Editing’ atau ‘Enable Content’, macro yang dilindungi kata sandi akan dijalankan untuk mengunduh malware MineBridge dan menjalankannya.

Setelah MineBridge terpasang, pelaku ancaman jarak jauh akan mendapatkan akses penuh ke komputer dan memungkinkan mereka untuk mendengarkan melalui mikrofon perangkat yang terinfeksi, dan melakukan aktivitas berbahaya lainnya.

Karena Finger jarang digunakan saat ini, disarankan agar administrator memblokir perintah Finger di jaringan mereka, baik melalui AppLocker atau metode lain.

Sumber: Bleeping Computer

Peneliti Mengungkap Malware China Tidak Terdokumentasi yang Digunakan dalam Serangan Terbaru

by

Peneliti keamanan siber telah mengungkapkan serangkaian serangan oleh aktor ancaman asal China yang menargetkan organisasi di Rusia dan Hong Kong dengan malware – termasuk backdoor yang sebelumnya tidak berdokumen.

Mengaitkan kampanye ke Winnti (atau APT41), Positive Technologies menetapkan tanggal serangan pertama hingga 12 Mei 2020, ketika APT menggunakan sortcuts LNK untuk mengekstrak dan menjalankan muatan malware. Serangan kedua yang terdeteksi pada tanggal 30 Mei menggunakan file arsip RAR berbahaya yang terdiri dari sortcuts ke dua dokumen PDF umpan yang diklaim sebagai riwayat hidup dan sertifikat IELTS.

Sortcuts itu sendiri berisi tautan ke halaman yang dihosting di Zeplin, alat kolaborasi yang sah untuk perancang dan pengembang yang digunakan untuk mengambil malware tahap akhir yang, pada gilirannya, menyertakan shellcode loader (“svchost.exe”) dan backdoor yang disebut Crosswalk (“3t54dE3r.tmp”).

selengkapnya : TheHackerNews

Akun Backdoor ditemukan di lebih dari 100.000 firewall Zyxel, gateway VPN

by

Lebih dari 100.000 firewall Zyxel, gateway VPN, dan pengontrol titik akses berisi akun backdoor tingkat admin yang di-hardcode yang dapat memberi penyerang akses root ke perangkat melalui antarmuka SSH atau panel administrasi web.

Akun backdoor, yang ditemukan oleh tim peneliti keamanan Belanda dari Eye Control, dianggap seburuk kerentanannya.

Pemilik perangkat disarankan untuk memperbarui sistem segera setelah waktu memungkinkan.

Ini termasuk lini produk Zyxel seperti:

  • seri Advanced Threat Protection (ATP) – digunakan terutama sebagai firewall
  • seri Unified Security Gateway (USG) – digunakan sebagai firewall hibrid dan gateway VPN
  • seri USG FLEX – digunakan sebagai firewall hibrid dan gateway VPN
  • seri VPN – digunakan sebagai gateway VPN
  • seri NXC – digunakan sebagai pengontrol titik akses WLAN

sumber : ZDNET

Kegilaan peretasan Rusia adalah sebuah pembalasan

by

Minggu lalu, beberapa badan pemerintah utama Amerika Serikat — termasuk Departemen Keamanan Dalam Negeri, Perdagangan, Perbendaharaan — menemukan bahwa sistem digital mereka telah dibobol oleh peretas Rusia dalam operasi spionase selama berbulan-bulan.

Luas dan dalamnya serangan akan memakan waktu berbulan-bulan, jika tidak lebih lama, untuk dipahami sepenuhnya. Tapi sudah jelas bahwa mereka mewakili momen pembalasan, baik untuk pemerintah federal dan industri TI yang memasoknya.

Amerika Serikat telah banyak berinvestasi dalam deteksi ancaman; sistem bernilai miliaran dolar yang dikenal sebagai Einstein berpatroli di jaringan pemerintah federal untuk mencari malware dan indikasi serangan. Namun seperti yang dirinci dalam laporan Kantor Akuntabilitas Pemerintah 2018, Einstein efektif dalam mengidentifikasi ancaman yang diketahui. Ini seperti penjaga pintu yang tidak memasukkan semua orang dalam daftar mereka tetapi menutup mata terhadap nama-nama yang tidak mereka kenali.

Itu membuat Einstein tidak mampu menghadapi serangan canggih seperti Rusia. Para peretas menggunakan backdoor SolarWinds Orion mereka untuk mendapatkan akses ke jaringan target. Mereka kemudian duduk diam hingga dua minggu sebelum dengan sangat hati-hati dan sengaja bergerak di dalam jaringan korban untuk mendapatkan kendali yang lebih dalam dan mengekstrak data.

“Ini pasti adalah sebuah pembalasan,” kata Jake Williams, mantan hacker NSA dan pendiri firma keamanan Rendition Infosec. “Ini pada dasarnya sangat sulit untuk diatasi, karena serangan rantai pasokan sangat sulit dideteksi. Ini seperti penyerang yang teleportasi entah dari mana.”

Sumber: Ars Technica

CISA: Peretasan besar pemerintah AS tidak hanya menggunakan backdoor SolarWinds

by

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan bahwa kelompok APT di balik kampanye peretasan baru-baru ini yang menargetkan lembaga pemerintah AS menggunakan lebih dari satu vektor akses awal.

“CISA memiliki bukti vektor akses awal tambahan, selain dari platform SolarWinds Orion; namun, ini masih diselidiki. CISA akan memperbarui Peringatan ini saat informasi baru tersedia,” kata organisasi tersebut.

“Tidak semua organisasi yang memiliki backdoor yang dikirimkan melalui SolarWinds Orion telah menjadi sasaran musuh dengan tindakan lanjutan.”

Grup APT, yang dicurigai sebagai APT29 yang disponsori negara Rusia (alias Cozy Bear and The Dukes), hadir di jaringan organisasi yang dikompromikan untuk jangka waktu yang lama menurut CISA.

Selain itu, CISA mengatakan bahwa sangat mungkin aktor ancaman di balik kampanye peretasan terkoordinasi ini menggunakan taktik, teknik, dan prosedur (TTP) lain yang belum ditemukan sebagai bagian dari investigasi yang sedang berlangsung.

Badan ini juga sedang menyelidiki insiden di mana mereka menemukan TTP konsisten dengan aktivitas berbahaya yang sedang berlangsung ini, “termasuk beberapa di mana korban tidak memanfaatkan SolarWinds Orion atau di mana SolarWinds Orion hadir tetapi tidak ada aktivitas eksploitasi SolarWinds yang diamati.”

Detail teknis tambahan termasuk info tentang vektor infeksi awal, taktik, teknik, dan prosedur (TTP) yang digunakan dalam kampanye ini, langkah-langkah mitigasi, dan indikator gangguan tersedia dalam peringatan AA20-352A CISA.

Sumber: Bleeping Computer

Malware baru dari grup peretas menyalahgunakan layanan Google dan Facebook

by

Molerats cyberespionage group telah menggunakan malware baru dalam kampanye spear-phishing baru-baru ini yang mengandalkan Dropbox, Google Drive, dan Facebook untuk komunikasi command dan control dan untuk menyimpan data yang dicuri.

Para peretas telah aktif setidaknya sejak 2012 dan dianggap sebagai divisi anggaran rendah dari kelompok yang lebih besar yang disebut Gaza Cybergang.

Aktor ancaman Molerats menggunakan dua backdoor baru dalam operasi yang terbaru- disebut SharpStage dan DropBook, dan satu pengunduh malware yang sebelumnya tidak diketahui bernama MoleNet.

Dirancang untuk cyberespionage, malware mencoba untuk menghindari deteksi dan upaya penghapusan dengan menggunakan layanan Dropbox dan Facebook untuk mencuri data dan menerima instruksi dari operator. Kedua backdoor menerapkan Dropbox untuk mengekstrak data yang dicuri.

Sumber: Cybereason

Laporan teknis dari Tim Nocturnus Cybereason mencatat bahwa backdoor DropBook berbasis Python berbeda dari alat lain di gudang senjata Molerats karena menerima instruksi hanya melalui akun palsu di Facebook dan Simplenote, aplikasi pencatat untuk iOS.

Peretas mengontrol backdoor melalui perintah yang diterbitkan dalam posting di Facebook. Mereka menggunakan metode yang sama untuk memberikan token yang diperlukan untuk terhubung ke akun Dropbox. Simplenote bertindak sebagai cadangan jika malware tidak dapat mengambil token dari Facebook.

Sumber: Bleeping Computer

DeathStalker APT Menambah Keseruan dengan Malware PowerPepper Malware

by

Serangkaian teknik obfuscation memanas untuk hacking-for-hire operation. Kelompok ancaman persisten lanjutan (APT) DeathStalker memiliki senjata baru yang menarik: Backdoor yang sangat tersembunyi yang oleh para peneliti dijuluki PowerPepper, digunakan untuk memata-matai sistem yang ditargetkan.

DeathStalker menawarkan layanan tentara bayaran, spionase untuk disewa yang menargetkan sektor keuangan dan hukum, menurut para peneliti di Kaspersky. Mereka mencatat bahwa grup tersebut telah ada setidaknya sejak 2012 (pertama kali terlihat pada 2018), menggunakan serangkaian teknik, taktik, dan prosedur (TTP) yang relatif dasar dan menjual jasanya kepada penawar tertinggi. Namun, pada November, kelompok itu ditemukan menggunakan implan malware baru, dengan taktik obfuscation yang berbeda.

“DeathStalker telah memanfaatkan beberapa jenis malware dan rantai pengiriman selama bertahun-tahun, dari Python dan Janicab berbasis VisualBasic, hingga Powersing berbasis PowerShell, melewati Evilnum berbasis JavaScript,” kata para peneliti dalam posting Kamis. “DeathStalker juga secara konsisten memanfaatkan teknik anti-deteksi dan penghindaran antivirus, serta rantai pengiriman yang rumit, yang akan menjatuhkan banyak file pada sistem file target.” Malware khusus ini menonjol, karena menaikkan level panas pada taktik obfuscation-nya.

sumber : ThreatPost