Backdoor

CISA: Peretasan besar pemerintah AS tidak hanya menggunakan backdoor SolarWinds

December 18, 2020 by Winnie the Pooh

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan bahwa kelompok APT di balik kampanye peretasan baru-baru ini yang menargetkan lembaga pemerintah AS menggunakan lebih dari satu vektor akses awal.

“CISA memiliki bukti vektor akses awal tambahan, selain dari platform SolarWinds Orion; namun, ini masih diselidiki. CISA akan memperbarui Peringatan ini saat informasi baru tersedia,” kata organisasi tersebut.

“Tidak semua organisasi yang memiliki backdoor yang dikirimkan melalui SolarWinds Orion telah menjadi sasaran musuh dengan tindakan lanjutan.”

Grup APT, yang dicurigai sebagai APT29 yang disponsori negara Rusia (alias Cozy Bear and The Dukes), hadir di jaringan organisasi yang dikompromikan untuk jangka waktu yang lama menurut CISA.

Selain itu, CISA mengatakan bahwa sangat mungkin aktor ancaman di balik kampanye peretasan terkoordinasi ini menggunakan taktik, teknik, dan prosedur (TTP) lain yang belum ditemukan sebagai bagian dari investigasi yang sedang berlangsung.

Badan ini juga sedang menyelidiki insiden di mana mereka menemukan TTP konsisten dengan aktivitas berbahaya yang sedang berlangsung ini, “termasuk beberapa di mana korban tidak memanfaatkan SolarWinds Orion atau di mana SolarWinds Orion hadir tetapi tidak ada aktivitas eksploitasi SolarWinds yang diamati.”

Detail teknis tambahan termasuk info tentang vektor infeksi awal, taktik, teknik, dan prosedur (TTP) yang digunakan dalam kampanye ini, langkah-langkah mitigasi, dan indikator gangguan tersedia dalam peringatan AA20-352A CISA.

Sumber: Bleeping Computer

Malware baru dari grup peretas menyalahgunakan layanan Google dan Facebook

December 14, 2020 by Winnie the Pooh

Molerats cyberespionage group telah menggunakan malware baru dalam kampanye spear-phishing baru-baru ini yang mengandalkan Dropbox, Google Drive, dan Facebook untuk komunikasi command dan control dan untuk menyimpan data yang dicuri.

Para peretas telah aktif setidaknya sejak 2012 dan dianggap sebagai divisi anggaran rendah dari kelompok yang lebih besar yang disebut Gaza Cybergang.

Aktor ancaman Molerats menggunakan dua backdoor baru dalam operasi yang terbaru- disebut SharpStage dan DropBook, dan satu pengunduh malware yang sebelumnya tidak diketahui bernama MoleNet.

Dirancang untuk cyberespionage, malware mencoba untuk menghindari deteksi dan upaya penghapusan dengan menggunakan layanan Dropbox dan Facebook untuk mencuri data dan menerima instruksi dari operator. Kedua backdoor menerapkan Dropbox untuk mengekstrak data yang dicuri.

Laporan teknis dari Tim Nocturnus Cybereason mencatat bahwa backdoor DropBook berbasis Python berbeda dari alat lain di gudang senjata Molerats karena menerima instruksi hanya melalui akun palsu di Facebook dan Simplenote, aplikasi pencatat untuk iOS.

Peretas mengontrol backdoor melalui perintah yang diterbitkan dalam posting di Facebook. Mereka menggunakan metode yang sama untuk memberikan token yang diperlukan untuk terhubung ke akun Dropbox. Simplenote bertindak sebagai cadangan jika malware tidak dapat mengambil token dari Facebook.

Sumber: Bleeping Computer

DeathStalker APT Menambah Keseruan dengan Malware PowerPepper Malware

December 5, 2020 by Winnie the Pooh

Serangkaian teknik obfuscation memanas untuk hacking-for-hire operation. Kelompok ancaman persisten lanjutan (APT) DeathStalker memiliki senjata baru yang menarik: Backdoor yang sangat tersembunyi yang oleh para peneliti dijuluki PowerPepper, digunakan untuk memata-matai sistem yang ditargetkan.

DeathStalker menawarkan layanan tentara bayaran, spionase untuk disewa yang menargetkan sektor keuangan dan hukum, menurut para peneliti di Kaspersky. Mereka mencatat bahwa grup tersebut telah ada setidaknya sejak 2012 (pertama kali terlihat pada 2018), menggunakan serangkaian teknik, taktik, dan prosedur (TTP) yang relatif dasar dan menjual jasanya kepada penawar tertinggi. Namun, pada November, kelompok itu ditemukan menggunakan implan malware baru, dengan taktik obfuscation yang berbeda.

“DeathStalker telah memanfaatkan beberapa jenis malware dan rantai pengiriman selama bertahun-tahun, dari Python dan Janicab berbasis VisualBasic, hingga Powersing berbasis PowerShell, melewati Evilnum berbasis JavaScript,” kata para peneliti dalam posting Kamis. “DeathStalker juga secara konsisten memanfaatkan teknik anti-deteksi dan penghindaran antivirus, serta rantai pengiriman yang rumit, yang akan menjatuhkan banyak file pada sistem file target.” Malware khusus ini menonjol, karena menaikkan level panas pada taktik obfuscation-nya.

sumber : ThreatPost

Grup peretas Rusia menggunakan Dropbox untuk menyimpan data yang dicuri malware

December 3, 2020 by Winnie the Pooh

Grup peretas yang didukung Rusia, Turla, telah menggunakan malware toolset untuk menyebarkan backdoor dan mencuri dokumen sensitif dalam kampanye spionase siber yang menargetkan profil tinggi seperti Kementerian Luar Negeri sebuah negara Uni Eropa.

Malware framework yang sebelumnya tidak diketahui, dinamai Crutch oleh penulisnya, digunakan dalam kampanye mulai dari 2015 hingga setidaknya awal 2020.

Malware Crutch Turla ini dirancang untuk membantu memanen dan mengekstrak dokumen sensitif dan berbagai file menarik lainnya ke akun Dropbox yang dikendalikan oleh grup tersebut.

“Kecanggihan serangan dan detail teknis dari penemuan ini semakin memperkuat persepsi bahwa kelompok Turla memiliki sumber daya yang cukup besar untuk mengoperasikan persenjataan yang begitu besar dan beragam,” kata peneliti ESET Matthieu Faou dalam sebuah laporan yang dibagikan sebelumnya dengan BleepingComputer.

“Selanjutnya, Crutch mampu melewati beberapa lapisan keamanan dengan menyalahgunakan infrastruktur resmi – yaitu, Dropbox – untuk berbaur dengan lalu lintas jaringan normal sambil mengeksfiltrasi dokumen yang dicuri dan menerima perintah dari operatornya.”

Versi awal Crutch (antara 2015 hingga pertengahan 2019) menggunakan saluran backdoor untuk berkomunikasi dengan akun Dropbox yang di-hardcode melalui API HTTP resmi dan alat pemantauan drive tanpa kemampuan jaringan yang mencari dan mengarsipkan dokumen menarik sebagai arsip terenkripsi.

Versi yang diperbarui (dilacak sebagai ‘versi 4’ oleh ESET) menambahkan removable-drive monitor dengan kemampuan jaringan dan menghapus kemampuan backdoor.

Sumber: Bleeping Computer

Peretas menargetkan pengguna MacOS dengan malware yang telah diperbarui

December 1, 2020 by Winnie the Pooh

Bentuk malware yang baru ditemukan menargetkan pengguna Apple MacOS dalam kampanye yang menurut para peneliti memiliki kaitan dengan operasi peretasan yang didukung negara.

Kampanye tersebut telah dirinci oleh analis keamanan siber di Trend Micro yang telah menautkannya ke OceanLotus – juga dikenal sebagai APT32 – sebuah grup peretasan yang diduga memiliki hubungan dengan pemerintah Vietnam.

Mereka menduga ini ada kaitannya dengan OceanLotus karena kesamaan dalam kode dan perilaku malware yang digunakan dalam kampanye sebelumnya oleh grup tersebut.

Backdoor MacOS memberi penyerang celah ke mesin yang disusupi, memungkinkan mereka untuk mengintip dan mencuri informasi rahasia dan dokumen bisnis yang sensitif.

Serangan dimulai dengan email phishing yang mencoba mendorong korban untuk menjalankan file Zip yang menyamar sebagai dokumen Word. File ini menghindari deteksi anti-virus dengan menggunakan karakter khusus jauh di dalam serangkaian folder Zip.

Untuk membantu menghindar dari malware ini dan kampanye malware lainnya, Trend Micro mengimbau pengguna untuk berhati-hati dalam mengklik tautan atau mengunduh lampiran dari email yang datang dari sumber yang mencurigakan atau tidak dikenal.

Organisasi juga disarankan untuk menerapkan tambalan keamanan dan pembaruan lainnya ke perangkat lunak dan sistem operasi sehingga malware tidak dapat memanfaatkan kerentanan yang telah diketahui.

Sumber: ZDNet

Trojan berusia 13 tahun digunakan dalam kampanye yang menargetkan beberapa negara, termasuk Indonesia.

November 27, 2020 by Winnie the Pooh

Check Point Research baru-baru ini mengamati kampanye baru yang menggunakan jenis Trojan backdoor berusia 13 tahun bernama Bandook dan menargetkan beberapa sektor di seluruh dunia.

Bandook, yang hampir menghilang dari lanskap ancaman, muncul dalam kampanye 2015 dan 2017, masing-masing diberi nama “Operation Manul” dan “Dark Caracal”.

Dalam gelombang serangan terbaru, peneliti sekali lagi mengidentifikasi berbagai macam sektor dan lokasi yang menjadi target.

Hal ini semakin memperkuat hipotesis sebelumnya bahwa malware tidak dikembangkan sendiri dan digunakan oleh satu entitas, tetapi merupakan bagian dari infrastruktur ofensif yang dijual oleh pihak ketiga kepada pemerintah dan pelaku ancaman di seluruh dunia, untuk memfasilitasi operasi cyber ofensif.

Infection chain lengkap serangan dapat dipecah menjadi tiga tahap utama. Tahap pertama dimulai, seperti di banyak rantai infeksi lainnya, dengan dokumen Microsoft Word yang berbahaya dikirim di dalam file ZIP.

Setelah dokumen dibuka, makro berbahaya diunduh menggunakan fitur external template. Kode makro lalu menjatuhkan dan menjalankan serangan tahap kedua, skrip PowerShell yang dienkripsi di dalam dokumen Word asli. Terakhir, skrip PowerShell mengunduh dan menjalankan tahap terakhir infeksi: backdoor Bandook.

Berbagai sektor yang ditargetkan adalah Pemerintahan, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum di Singapura, Siprus, Chili, Italia, AS, Turki, Swiss, Indonesia, dan Jerman.

Laporan selengkapnya dapat dibaca pada tautan berikut;
Sumber: Check Point Research

Router eksklusif Walmart dan lainnya yang dijual di Amazon & eBay memiliki backdoor tersembunyi untuk mengontrol perangkat

November 24, 2020 by Winnie the Pooh

Dalam kolaborasi antara CyberNews Sr. Peneliti Keamanan Informasi Mantas Sasnauskas dan peneliti James Clee dan Roni Carta, backdoor yang mencurigakan telah ditemukan di router Jetstream buatan China, dijual secara eksklusif di Walmart sebagai router wifi yang “terjangkau”.

Backdoor ini memungkinkan penyerang memiliki kemampuan untuk mengontrol tidak hanya router, tetapi juga perangkat apa pun yang terhubung ke jaringan itu dari jarak jauh.

Selain router Jetstream, tim peneliti keamanan siber juga menemukan bahwa router Wavlink berbiaya rendah, biasanya dijual di Amazon atau eBay, memiliki backdoor serupa. Router Wavlink juga berisi skrip yang memindai wifi terdekat dan memiliki kemampuan untuk terhubung ke jaringan tersebut.

Para peneliti keamanan juga menemukan bukti bahwa backdoor ini secara aktif dieksploitasi, dan ada upaya untuk menambahkan perangkat ke botnet Mirai.

Meskipun Jetstream memiliki kesepakatan eksklusif dengan Walmart, dan dijual dengan nama merek lain seperti Ematic, hanya ada sedikit informasi yang tersedia tentang perusahaan China mana yang benar-benar memproduksi produk ini. Sementara Wavlink adalah perusahaan teknologi yang berbasis di Shenzhen, Cina, di provinsi Guangdong.

Salah satu aspek paling menarik dari penelitian ini adalah penemuan backdoor mencurigakan yang diaktifkan di semua perangkat.

Router Jetstream dan Wavlink menampilkan GUI sederhana (atau antarmuka yang ramah pengguna) untuk backdoor nya yang berbeda dari antarmuka yang disajikan kepada admin router. Meskipun Wavlink memiliki instruksi di situs webnya tentang bagaimana pengguna dapat mengakses router mereka, backdoor yang ditemukan tampaknya diarahkan pada eksekusi kode jarak jauh, atau RCE.

Penelitian ini juga menemukan bahwa kredensial yang diperlukan untuk mengakses perangkat diperiksa di kode Javascript. Artinya, jika Anda akan memeriksa elemen, pada endpoint tertentu Anda dapat mengambil kata sandi root dan mengakses komputer target dari jarak jauh.

Di perangkat yang tidak memiliki sandi di Javascript, ada cadangan tidak terenkripsi yang dapat diunduh tanpa autentikasi. Cadangan ini akan memungkinkan penyerang mendapatkan kata sandi admin juga.

Tonton video di bawah ini untuk mendengar langsung dari Sasnauskas, Clee dan Carta tentang bagaimana mereka menemukan backdoor dan apa artinya bagi konsumen:

Sumber: Cyber News

Penyerang Siber Melayani Backdoor Khusus untuk Perangkat Lunak Restoran Oracle

November 15, 2020 by Winnie the Pooh

Malware modular sangat canggih tetapi mungkin tidak dapat menangkap info kartu kredit. ModPipe, backdoor yang sebelumnya tidak dikenal, telah dibuat khusus untuk menyerang solusi point-of-sale (PoS) restoran dari Oracle. Terkenal karena kecanggihannya yang tidak biasa, menurut peneliti, dibuktikan dengan berbagai modulnya.

Kode tersebut secara khusus membidik Oracle MICROS Restaurant Enterprise Series (RES) 3700 POS – rangkaian perangkat lunak manajemen yang digunakan oleh ratusan ribu bar, restoran, hotel, dan perusahaan perhotelan lainnya di seluruh dunia, menurut ESET. Serangan tersebut terutama terjadi di AS, kata para peneliti – meskipun vektor infeksi awal tidak diketahui.

Salah satu modul perangkat lunak perusak yang dapat diunduh, yang disebut GetMicInfo, sangat unik, kata perusahaan itu. Ini mengendus dan mengeksfiltrasi kredensial yang memungkinkan operator ModPipe mengakses konten basis data, termasuk berbagai definisi dan data konfigurasi, tabel status, dan informasi tentang transaksi PoS.

sumber : ThreatPost

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Backdoor

Cookies Settings