Backdoor

Paket npm berbahaya membuka backdoor di komputer programmer

November 3, 2020 by Winnie the Pooh

Tim keamanan npm telah menghapus library JavaScript berbahaya dari situs web npm yang berisi kode berbahaya untuk membuka backdoor di komputer programmer.

Library JavaScript diberi nama “twilio-npm,” dan perilakunya yang berbahaya ditemukan pada akhir pekan lalu oleh Sonatype, sebuah perusahaan yang memantau repositori paket publik sebagai bagian dari layanan operasi keamanan pengembang (DevSecOps).

Dalam sebuah laporan, Sonatype mengatakan library tersebut pertama kali diterbitkan di situs web npm pada hari Jumat, ditemukan pada hari yang sama, dan dihapus pada 2 November setelah tim keamanan npm memasukkan paket tersebut ke daftar hitam.

Meskipun portal npm berumur pendek, library tersebut telah diunduh lebih dari 370 kali dan secara otomatis disertakan dalam proyek JavaScript yang dibangun dan dikelola melalui utilitas baris perintah npm (Node Package Manager).

Ax Sharma, peneliti keamanan Sonatype yang menemukan dan menganalisis library tersebut, mengatakan kode berbahaya yang ditemukan di library Twilio palsu membuka shell reverse TCP di semua komputer tempat library diunduh dan diimpor di dalam proyek JavaScript/npm/Node.js.

Reverse shell membuka koneksi ke “4.tcp.ngrok[.]Io:11425” dimana ia menunggu untuk menerima perintah baru untuk dijalankan di komputer pengguna yang terinfeksi.

Sharma mengatakan shell terbalik hanya bekerja pada sistem operasi berbasis UNIX.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Pemerintah Five Eyes, India, dan Jepang membuat seruan baru untuk backdoor enkripsi

October 12, 2020 by Winnie the Pooh

Anggota aliansi berbagi intelijen, Five Eyes, bersama dengan perwakilan pemerintah untuk Jepang dan India, telah menerbitkan pernyataan yang meminta perusahaan teknologi untuk menghasilkan solusi bagi penegakan hukum untuk mengakses komunikasi terenkripsi ujung ke ujung.

Pernyataan tersebut adalah upaya terbaru aliansi untuk membuat perusahaan teknologi menyetujui enkripsi backdoors.

Pejabat pemerintah mengklaim bahwa perusahaan teknologi telah menyudutkan diri mereka sendiri dengan memasukkan enkripsi ujung ke ujung (E2EE) ke dalam produk mereka. Jika diterapkan dengan benar, E2EE memungkinkan pengguna melakukan percakapan yang aman – baik itu obrolan, audio, atau video – tanpa membagikan kunci enkripsi dengan perusahaan teknologi.

Perwakilan dari tujuh pemerintah berpendapat bahwa cara enkripsi E2EE didukung pada platform teknologi utama saat ini melarang penegakan hukum menyelidiki circle kejahatan, tetapi juga platform teknologi itu sendiri untuk menegakkan persyaratan layanan mereka sendiri.

Pejabat mengatakan bahwa mereka berkomitmen untuk bekerja dengan perusahaan teknologi dalam mengembangkan solusi yang memungkinkan pengguna untuk terus menggunakan komunikasi terenkripsi yang aman, tetapi juga memungkinkan penegakan hukum dan perusahaan teknologi untuk menindaklanjuti aktivitas kriminal.

Upaya serupa juga terjadi di AS dan Eropa, tetapi kurang berhasil, terutama karena penentangan dari perusahaan teknologi, nirlaba, atau masyarakat umum.

Namun, tekanan telah meningkat dalam beberapa tahun terakhir karena pemerintah barat berusaha mencapai kesetaraan pengumpulan intelijen dengan China.

Backdoor pada HP Device Manager telah ditemukan

September 30, 2020 by Winnie the Pooh

HP Device Manager, perangkat lunak yang memungkinkan IT administrator untuk mengelola perangkat HP Thin Client, ternyata mempunyai backdoor di akun user database yang merusak keamanan jaringan, konsultan yang berbasis di Inggris memperingatkan.

Akun dapat dieksploitasi untuk mencapai eskalasi hak istimewa dan, sehubungan dengan kekurangan lainnya, dapat menjalankan eksekusi perintah jarak jauh yang tidak sah sebagai SISTEM. Belum ada tambalan tersedia meskipun ada mitigasi yang disarankan.

“Siapapun yang memiliki akses ke server tempat HP Device Manager diinstal dapat menggunakan akun pengguna ini untuk mendapatkan kendali penuh atas server,” kata Nicky Bloor, pendiri Cognitous Cyber Security, mencatat bahwa ini akan memenuhi syarat sebagai eskalasi hak istimewa lokal.

HP tidak merespons pada saat Bloor melaporkan hal ini dan dia menjelaskan bahwa dia berencana menerbitkan detail kerentanan dalam 30 hari jika perusahaan terus diam. Bloor melaporkannya pada tanggal 19 Agustus 2020.

Hanya mitigasi yang ditawarkan pada tahap ini. Salah satunya adalah dengan menghapus akun yang dilanggar dari database dm_postgres, dan yang lainnya adalah membatasi dan / atau memfilter koneksi yang masuk.

Kami juga sangat menyarankan, pertama, untuk masuk ke semua server yang menjalankan HP Device Manager dan menetapkan kata sandi yang kuat untuk pengguna “dm_postgres” dari database “hpdmdb” Postgres pada port TCP 40006 1/4

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Register

Geng ransomware menargetkan bisnis Rusia dalam serangan terkoordinasi yang jarang terjadi

September 25, 2020 by Winnie the Pooh

Perusahaan keamanan Group-IB mengatakan telah mengidentifikasi grup kejahatan siber baru yang, selama enam bulan terakhir, telah berulang kali dan dengan sengaja menargetkan bisnis Rusia dengan serangan malware dan ransomware.

Dinamakan OldGremlin, Group-IB mengatakan para peretas berada di balik serangan yang ditargetkan dengan ransomware strain baru yang disebut TinyCryptor (alias decr1pt).

“Mereka telah mencoba untuk menargetkan hanya perusahaan Rusia sejauh ini,” Oleg Skulkin, analis DFIR senior Grup-IB, mengatakan kepada ZDNet minggu ini.

“Ini sangat tidak biasa bagi geng berbahasa Rusia yang memiliki aturan tak terucapkan tentang tidak menargetkan Rusia dan negara-negara pasca-Soviet.”

Serangan OldGremlin biasanya dimulai dengan email spear-phishing yang membawa file ZIP yang mengandung malware, yang biasanya akan menginfeksi korban dengan trojan backdoor bernama TinyNode.

Ini memberi penyerang pijakan awal di jaringan perusahaan, di mana para peretas menyebar secara lateral ke sistem lain dan kemudian menyebarkan ransomware pada tahap akhir serangan mereka.

Setelah jaringan dienkripsi, kru OldGremlin biasanya meminta pembayaran tebusan sekitar $50.000 menggunakan pesan yang ditinggalkan di sistem yang terinfeksi dan mengarah kembali ke alamat ProtonMail.

Skulkin mengatakan Group-IB telah mengidentifikasi grup OldGremlin pada bulan Agustus, tetapi serangan grup tersebut dimulai pada bulan Maret, dengan email phishing mereka menggunakan berbagai macam umpan, mulai dari menyamar sebagai jurnalis yang mencari wawancara hingga menggunakan demonstrasi anti-pemerintah di Belarusia sebagai pembuka percakapan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Sebuah Spyware Tersembunyi di Dalam Perangkat Lunak Perpajakan Cina Yang Diduga Ditanamkan Oleh Aktor Negara-Bangsa

June 30, 2020 by Winnie the Pooh

Dilansir dari NBCnews.com, sebuah vendor teknologi multinasional yang melakukan bisnis di China diinstruksikan oleh bank China untuk menginstal perangkat lunak untuk membayar pajak lokal pada awal tahun ini.

Perangkat lunak pajak itu sebenarnya sah, tetapi di dalam nya tertanam sesuatu yang tidak menyenangkan, menurut laporan baru oleh sebuah perusahaan keamanan swasta, Trustwave: Sepotong malware canggih yang memberi para penyerang akses penuh ke jaringan perusahaan.

Trustwavejuga mengatakan malware itu, yang diberi nama GoldenSpy, telah aktif pada bulan April, dan karena terdeteksi awal, perusahaan tidak yakin apakah itu pekerjaan pemerintah Cina atau kelompok kriminal. Tetapi kecanggihan malware itu, dan kurangnya hasil finansial yang cepat dan jelas, tampaknya menunjuk pada aktor negara-bangsa sebagai pelakunya, kata Brian Hussey, mantan spesialis siber FBI dan wakil presiden Trustwave untuk deteksi dan respons ancaman.

Trustwave mendeteksi malware itu setelah melihat beberapa “suar” yang mencurigakan dari jaringan klien. Mereka juga menemukan bahwa spyware diaktifkan dua jam setelah perangkat lunak pajak diinstal, dan secara diam-diam memasang pintu belakang (backdoor) yang memungkinkan penyerang memasang malware lain di dalam jaringan.

Kode berbahaya itu sangat canggih, kata Hussey. Ia memiliki apa yang disebutnya sebagai triple layer of persistence. GoldenSpy menginstal dirinya sendiri pada dua lokasi berbeda di jaringan, dan jika satu dihapus, secera otomatis akan mengaktifkan yang lainnya. Ada juga yang disebut modul pelindung, yang akan mengunduh dan menginstal salinan lain jika keduanya dihapus.

“Pada titik ini, kami tidak dapat menentukan seberapa luas penyebaran perangkat lunak ini,” kata laporan itu. “Kami saat ini mengetahui satu vendor teknologi / perangkat lunak yang ditargetkan dan kejadian yang sangat mirip terjadi di sebuah lembaga keuangan besar, tetapi ini dapat dimanfaatkan terhadap banyak perusahaan yang beroperasi dan membayar pajak di Cina atau mungkin ditargetkan hanya pada beberapa organisasi terpilih dengan akses ke informasi penting.”

“Kampanye GoldenSpy memiliki karakteristik yang sama dengan kampanye Advanced Persistent Threat (APT) terkoordinasi yang menargetkan perusahaan asing yang beroperasi di China,” kata laporan Trustwave.

Berita selengkapnya dapat dibaca pada tautan dibawah ini;
Source: NBC News

Keamanan Linux: Grup Peretas Cina Mungkin Telah Mengompromikan Mesin Linux Yang Tak Terhitung Jumlahnya Sejak 2012

April 8, 2020 by Winnie the Pooh

Menurut laporan baru dari tim penelitian dan intelijen BlackBerry, peretas tingkat lanjut yang bekerja untuk kepentingan Cina telah menyerang dan menargetkan sistem operasi Linux dengan banyak keberhasilan dan sedikit atau tanpa deteksi.

Mungkin banyak yang berfikir bahwa ini tidak terlalu bermasalah mengingat bahwa statistik terbaru menunjukkan Linux memegang 1,71% dari pangsa pasar sistem operasi desktop global dibandingkan dengan 77,1% untuk Windows. Sampai Anda menyadari bahwa faktanya Linux memberi daya pada 100% dari 500 superkomputer teratas dan, menurut penelitian BlackBerry, 75% dari semua server web dan penyedia layanan cloud utama menggunakan sistem operasi ini.

Penelitian baru ini menambah kekhawatiran itu, yang mengklaim bahwa upaya terpadu yang melibatkan lima kelompok ancaman persisten tingkat lanjut China (APT) telah difokuskan pada server Linux yang “terdiri dari tulang punggung mayoritas pusat data besar yang bertanggung jawab untuk beberapa operasi jaringan perusahaan yang paling sensitif.”

Apa yang para peneliti temukan adalah bukti dari perangkat malware Linux yang sebelumnya tidak terdokumentasi yang digunakan oleh para aktor ancaman ini. Toolset yang mencakup tidak kurang dari dua rootkit tingkat kernel dan tiga backdoors. Toolset yang dikonfirmasi oleh para peneliti, telah secara aktif digunakan sejak 13 Maret 2012.

Analisis Decade of RATs oleh para peneliti BlackBerry menautkan toolkit malware yang sebelumnya tidak dikenal ini dengan salah satu botnet Linux terbesar yang pernah ditemukan, dan menyimpulkan bahwa “sangat mungkin” bahwa jumlah organisasi yang terkena dampak sangat banyak dan “durasi infeksi yang panjang.”

Baca artikel selengkapnya pada tautan di bawah ini;

Source: Forbes

Lebih dari 12.000 Aplikasi Android berisi kata sandi utama, kunci akses rahasia dan perintah rahasia

April 5, 2020 by Winnie the Pooh

Studi akademik yang komprehensif menemukan perilaku seperti backdoor tersembunyi di 6.800 aplikasi Play Store, 1.000 aplikasi dari toko aplikasi pihak ketiga, dan hampir 4.800 aplikasi pra-instal pada perangkat Samsung.

Untuk menemukan perilaku tersembunyi ini, akademisi dari Eropa dan AS mengembangkan alat khusus bernama InputScope.

“Evaluasi kami menemukan situasi yang memprihatinkan,” kata tim peneliti. “Kami mengidentifikasi 12.706 aplikasi yang berisi berbagai backdoor seperti kunci akses rahasia, kata sandi utama, dan perintah rahasia.”

Para peneliti mengatakan mekanisme backdoor yang tersembunyi ini dapat memungkinkan penyerang untuk mendapatkan akses tidak sah ke akun pengguna. Lalu jika penyerang memiliki akses fisik ke perangkat dan salah satu aplikasi ini diinstal, itu juga dapat memberikan penyerang akses ke telepon atau memungkinkan mereka untuk menjalankan kode pada perangkat dengan hak istimewa yang tinggi (karena perintah rahasia tersembunyi yang ada di kolom input aplikasi).

Here’s a real world example we were able to find. If you tap 13 times on the version number, you get a password prompt. Enter in the Konami Code, and you get a hidden debug menu! pic.twitter.com/ixOuz6vmib

— Brendan Dolan-Gavitt (@moyix) March 31, 2020

Seperti dapat dilihat dari contoh yang diberikan oleh tim peneliti diatas, beberapa masalah jelas membahayakan keselamatan pengguna, dan data yang tersimpan di perangkat, sementara yang lain hanya telur Paskah yang tidak berbahaya atau fitur debugging yang secara tidak sengaja dimuat dalam produksi.

Tim peneliti mengatakan mereka memberi tahu semua pengembang aplikasi tempat mereka menemukan perilaku tersembunyi atau mekanisme seperti backdoor tersebut. Namun, tidak semua pengembang aplikasi merespons.

Akibatnya, beberapa aplikasi yang disediakan sebagai contoh dalam laporan mereka telah dihapus namanya untuk melindungi pengguna mereka.

Detail selengkapnya mengenai penelitian tersebut dapat diakses pada link berikut.

Artikel selengkapnya dapat dibaca pada link dibawah ini:
Source: ZDNet

Malware Backdoor sedang disebarkan melalui peringatan sertifikat keamanan palsu

March 6, 2020 by Winnie the Pooh

Varian Backdoor dan Trojan malware sedang didistribusikan melalui teknik phishing baru yang berupaya memikat korban agar menerima “pembaruan” sertifikat keamanan situs web.

Pada hari Kamis, para peneliti cybersecurity dari Kaspersky melaporkan bahwa teknik baru ini telah ditemukan di berbagai situs web, mulai dari kebun binatang hingga e-commerce yang menjual suku cadang kendaraan. Infeksi paling awal terjadi pada 16 Januari 2020.

Pengunjung domain yang telah dikompromikan akan melihat layar berikut;

Peringatan mengklaim sertifikat keamanan situs web sudah ketinggalan zaman, tetapi alih-alih ini menjadi masalah pemilik domain, pengunjung didesak untuk menginstal “pembaruan sertifikat keamanan” untuk melanjutkan akses pada situs tersebut.

Jika korban memilih untuk mengklik tombol perbarui, unduhan file, Certificate_Update_v02.2020.exe, akan dimulai. Ketika dibuka dan diinstal, executable akan mengirimkan salah satu dari dua varian malware ke perangkat korban; Mokes (Backdoor) atau Buerak (Trojan).

Dalam berita yang terkait minggu ini, CA (Certificate Authorities) Let’s Encrypt mengumumkan rencana untuk mencabut lebih dari tiga juta sertifikat karena bug dalam kode backend yang menyebabkan sistem verifikasi mengabaikan beberapa pemeriksaan lapangan CAA. Kesalahan pemrograman sekarang telah diperbaiki. Pemilik domain yang terkena dampak harus meminta sertifikat baru.

Info lebih lanjut dapat dibaca pada tautan dibawah ini;

Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Backdoor

Cookies Settings