Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Chinese

Chinese

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

UNC3886 telah menggunakan vSphere Installation Bundles (VIB) berbahaya – paket yang biasanya digunakan untuk memelihara sistem dan menyebarkan pembaruan – untuk menginstal backdoors pada ESXi hypervisors dan mendapatkan eksekusi perintah, manipulasi file, dan kemampuan reverse shell.

Tindakan jahat grup tersebut akan berdampak pada host VMware ESXi, server vCenter, dan mesin virtual Windows (VM).

Dalam serangan baru-baru ini, mata-mata dunia maya terlihat mengambil kredensial dari vCenter Server untuk semua host ESXi yang terhubung, menerapkan pintu belakang menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

Selain itu, grup tersebut telah mengeksploitasi kerentanan zero-day di VMware Tools untuk melewati otentikasi dan menjalankan perintah istimewa di VM tamu Windows, Linux, dan PhotonOS (vCenter).

Dilacak sebagai CVE-2023-20867, kerentanan tersebut memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

“Host ESXi yang sepenuhnya dikompromikan dapat memaksa VMware Tools untuk gagal mengautentikasi operasi host-ke-tamu, yang berdampak pada kerahasiaan dan integritas mesin virtual tamu,” VMware menjelaskan dalam sebuah nasihat. VMware Tools versi 12.2.5 mengatasi kekurangan tersebut.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Malware memberi penyerang tingkat kegigihan baru (akses ke host ESXi yang terinfeksi diperoleh kembali dengan mengakses VM) yang juga memungkinkan untuk memotong segmentasi jaringan dan menghindari tinjauan keamanan untuk port mendengarkan terbuka.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

sumber : securityweek.com

Spionase yang didukung China semakin sulit dikenali, kata para peneliti

by

Kelompok peretas yang diduga terkait dengan China terus membangun taktik baru yang menargetkan alat keamanan yang menghadap ke internet sebagai cara untuk secara diam-diam membobol beberapa organisasi yang paling kaya data, para peneliti di Mandiant milik Google memperingatkan.

Dari berita: Dalam sebuah laporan Kamis, para peneliti mengatakan mereka telah menemukan bug baru yang menargetkan perusahaan keamanan perangkat lunak Fortinet, yang membuat firewall, program antivirus, dan alat serupa. The Wall Street Journal pertama kali melaporkan bug baru tersebut.

  • Laporan baru ini adalah yang kelima yang dirilis Mandiant dalam dua tahun di mana tersangka peretas yang berafiliasi dengan China telah menargetkan alat keamanan yang terhubung ke internet. Pembuat produk lain yang terpengaruh termasuk SonicWall, VMware dan Citrix.
  • Charles Carmakal, chief technology officer di Mandiant, mengatakan kepada WSJ kemungkinan bahwa “masalahnya jauh lebih besar daripada yang kita ketahui sekarang.”

Apa yang mereka katakan: “Mengingat betapa sulitnya mereka ditemukan, sebagian besar organisasi tidak dapat mengidentifikasi mereka sendiri,” kata Carmakal dalam sebuah pernyataan kepada Axios. “Tidak jarang kampanye China berakhir sebagai gangguan selama bertahun-tahun.”

Gambaran besarnya: Pemerintahan Biden telah berfokus pada laser untuk menindak ancaman spionase dan peretasan yang terkait dengan China.

  • Pekan lalu, komunitas intelijen mengatakan dalam laporan ancaman di seluruh dunia tahun 2023 bahwa China adalah ancaman spionase siber “terluas, paling aktif, dan gigih” ke AS.
  • Awal pekan ini, Komite Investasi Asing di Amerika Serikat dilaporkan memberi tahu TikTok bahwa, karena pengawasan dan masalah keamanan nasional lainnya, itu akan dilarang di AS jika perusahaan induknya di China, ByteDance, menolak untuk menjual sahamnya.

Selengkapnya: Axios

Dugaan Kampanye Tiongkok untuk Bertahan di Perangkat SonicWall, Menyoroti Pentingnya Perangkat Tepi Pemantauan

by

Mandiant, bekerja dalam kemitraan dengan Tim Keamanan Produk dan Respons Insiden SonicWall (PSIRT), telah mengidentifikasi dugaan kampanye China yang melibatkan pemeliharaan persistensi jangka panjang dengan menjalankan malware pada alat SonicWall Secure Mobile Access (SMA) yang belum ditambal. Malware memiliki fungsi untuk mencuri kredensial pengguna, menyediakan akses shell, dan bertahan melalui peningkatan firmware. Mandiant saat ini melacak aktor ini sebagai UNC4540.

Analisis perangkat yang disusupi mengungkapkan kumpulan file yang memberi penyerang akses yang sangat istimewa dan tersedia ke alat tersebut. Malware terdiri dari serangkaian skrip bash dan biner ELF tunggal yang diidentifikasi sebagai varian TinyShell. Perilaku keseluruhan rangkaian skrip bash berbahaya menunjukkan pemahaman mendetail tentang alat dan disesuaikan dengan baik ke sistem untuk memberikan stabilitas dan kegigihan.

Penyerang berusaha keras untuk stabilitas dan kegigihan perkakas mereka. Ini memungkinkan akses mereka ke jaringan untuk bertahan melalui pembaruan firmware dan mempertahankan pijakan di jaringan melalui Perangkat SonicWall.

Mandiant tidak dapat menentukan asal infeksi, namun malware, atau pendahulunya, kemungkinan besar digunakan pada tahun 2021. Mandiant percaya bahwa akses penyerang tetap ada melalui beberapa pembaruan firmware.

Selengkapnya: Mandiant

Bagaimana smartphone Cina memenangkan hati (dan dompet) orang Indonesia

by

Sempat dianggap oleh banyak orang Indonesia sebagai produk tiruan berkualitas rendah, smartphone China kini menguasai hampir 70% pasar smartphone Tanah Air.

Indonesia tidak hanya menjadi pasar ponsel pintar terbesar keempat di dunia, tetapi juga tempat orang menghabiskan waktu paling banyak di ponsel mereka: rata-rata 5,5 jam per hari. Oppo China memimpin dengan 21% pangsa pasar Indonesia, diikuti oleh Vivo, Xiaomi, dan Realme. Sementara itu, Apple — terlepas dari desainnya yang ramping dan prestise global — tidak pernah menembus lima besar.

Dominasi perusahaan China di pasar ponsel pintar Indonesia dapat dijelaskan dengan tiga strategi utama: harga rendah, pemasaran lokal, dan investasi di komunitas lokal dengan menciptakan lapangan kerja dan memberikan bantuan bencana.

Ponsel pintar Cina jauh lebih terjangkau daripada ponsel Barat mereka, harganya tetap rendah melalui margin keuntungan yang rendah untuk setiap ponsel pintar yang terjual. Vivo, Realme, dan Xiaomi mendominasi pasar untuk perangkat kelas bawah yang harganya kurang dari $200, dan Oppo memimpin dalam model kelas menengah antara $200 dan $400.

Sementara itu, pesaing seperti Samsung dan Apple tetap sangat mahal untuk sebagian besar populasi – baik Samsung Galaxy S22 Ultra dan iPhone 13 Max menghabiskan lebih dari setengah gaji rata-rata di negara tersebut. Banyak orang Indonesia memandang iPhone sebagai barang mewah, seperti “memiliki Porsche”. Satu video satir yang viral di media sosial bercanda bahwa seseorang telah menjual ginjalnya untuk membelinya.

Selengkapnya: Rest of World

42.000 Domain Penipu Digunakan oleh Peretas Tiongkok dalam Kampanye Phishing Besar

by

Kampanye phishing besar-besaran yang dioperasikan oleh kelompok peretasan China “Fangxiao” menempatkan ribuan orang dalam bahaya. Kampanye ini telah menggunakan 42.000 domain palsu untuk memfasilitasi serangan phishing. Domain penipu ini dirancang untuk mengarahkan pengguna ke aplikasi adware (periklanan malware), hadiah, dan situs kencan.

Cyjax, sebuah perusahaan solusi keamanan dan ancaman siber, menemukan 42.000 domain palsu yang digunakan dalam kampanye ini. Dalam posting blog Cyjax oleh Emily Dennison dan Alana Witten, penipuan itu digambarkan sebagai canggih, dengan kemampuan untuk “mengeksploitasi reputasi internasional, merek tepercaya di berbagai vertikal termasuk ritel, perbankan, perjalanan, farmasi, perjalanan dan energi”.

Penipuan dimulai dengan pesan WhatsApp berbahaya, di mana merek tepercaya ditiru. Contoh merek tersebut termasuk Emirates, Coca-Cola, McDonald’s, dan Unilever. Pesan ini memberi penerima tautan ke halaman web yang diberi daya pikat. Situs pengalihan tergantung pada alamat IP target, serta agen pengguna mereka.

Misalnya, McDonald’s mungkin mengklaim melakukan pemberian gratis. Ketika korban menyelesaikan pendaftaran mereka ke giveaway, unduhan malware Triada Trojan dapat dipicu. Malware juga dapat diinstal setelah mengunduh aplikasi tertentu, yang diminta untuk dipasang oleh korban agar dapat terus mengikuti giveaway.

Selengkapnya: Make Use Of

Nepal detains 122 Chinese for suspected cyber crime and bank fraud

by

 

Polisi di Nepal telah menahan 122 pria dan wanita China atas tuduhan kejahatan oleh orang asing yang memasuki negara itu dengan visa turis. Mereka dicurigai melakukan kejahatan siber dan meretas mesin ATM, kata kepala polisi, Uttam Subedi, seraya menambahkan bahwa mereka ditahan di berbagai kantor polisi dan paspor serta laptop mereka disita.

 

Klik link dibawah ini untuk membaca berita selengkapnya!

Source: Reuters