Cybersecurity

Botnet PgMiner menyerang database PostgreSQL yang tidak diamankan dengan benar

December 14, 2020 by Winnie the Pooh

Minggu ini, peneliti keamanan telah menemukan operasi botnet yang menargetkan database PostgreSQL untuk menginstal penambang cryptocurrency.

Disebut sebagai PgMiner oleh para peneliti, botnet ini hanyalah yang terbaru dari daftar panjang operasi kejahatan siber baru-baru ini yang menargetkan teknologi web untuk keuntungan moneter.

Menurut para peneliti di Palo Alto Networks ‘Unit 42, botnet beroperasi dengan melakukan serangan brute force terhadap database PostgreSQL yang dapat diakses internet.

Botnet secara acak memilih range jaringan publik (mis., 18.xxx.xxx.xxx) dan kemudian melakukan iterasi melalui semua bagian alamat IP dari rentang itu, mencari sistem yang port PostgreSQL (port 5432) nya terkspos secara online.

Jika PgMiner menemukan sistem PostgreSQL yang aktif, botnet berpindah dari fase pemindaian ke fase brute-force, di mana ia mengacak daftar panjang kata sandi dalam upaya untuk menebak kredensial untuk “postgres,” akun PostgreSQL default.

Jika pemilik database PostgreSQL lupa menonaktifkan user ini atau lupa mengubah kata sandinya, peretas akan mengakses database dan menggunakan fitur COPY PostgreSQL dari PROGRAM untuk meningkatkan akses mereka dari aplikasi database ke server yang mendasarinya dan mengambil alih seluruh OS.

Begitu mereka memiliki pegangan yang lebih kuat pada sistem yang terinfeksi, kru PgMiner menyebarkan aplikasi penambangan koin dan mencoba menambang cryptocurrency Monero sebanyak mungkin sebelum terdeteksi.

Menurut Unit 42, pada laporan mereka, botnet hanya memiliki kemampuan untuk menyebarkan penambang di platform Linux MIPS, ARM, dan x64. Operator Botnet PgMiner juga telah mengendalikan bot yang terinfeksi melalui server perintah dan kontrol (C2) yang dihosting di jaringan Tor dan bahwa basis kode botnet tersebut tampak menyerupai botnet SystemdMiner.

Sumber: ZDNet

250.000 database MySQL curian dijual di situs lelang dark web

December 11, 2020 by Winnie the Pooh

Peretas telah menyiapkan situs lelang di dark web untuk menjual 250.000 database yang dicuri dari puluhan ribu server MySQL yang dibobol.

Seluruh koleksi berukuran tujuh terabyte dan merupakan bagian dari database ransom business yang tercatat naik tajam sejak Oktober.

Kembali pada bulan Mei, BleepingComputer melaporkan tentang penyerang yang mencuri database SQL dari toko online dan mengancam korban bahwa data mereka akan diketahui publik jika mereka tidak membayar 0,06 BTC.

Peneliti di Guardicore memantau skema tersebut sepanjang tahun dan melihat peningkatan tajam dalam aktivitas sejak 3 Oktober.

Penyerang telah berpindah dari clear web ke dark web, membuat situs lelang yang mencantumkan 250.000 basis data dari 83.000 server yang dibobol yang terungkap di web publik.

Basis data MySQL yang dijual di situs lelang berukuran mulai dari 20 byte hingga gigabyte, dan ditawarkan dengan jumlah yang sama – 0,03 bitcoin atau $ 545 dengan harga saat ini.

Dalam laporannya, Guardicore menegaskan bahwa hasil data dari serangan otomatis non-target yang menggunakan brute force untuk mendapatkan akses ke data.

Admin harus menghindari mengekspos database, jika memungkinkan, atau setidaknya mengaktifkan akses ke database tersebut melalui koneksi non publik yang aman, dan melengkapi pertahanan ini dengan visibilitas jaringan yang baik.

Sumber: Bleeping Computer

Peretas dapat menggunakan koneksi server tidak aman WinZip untuk menjatuhkan malware

December 11, 2020 by Winnie the Pooh

Komunikasi klien-server dalam versi tertentu dari alat kompresi file WinZip tidak aman dan dapat dimodifikasi untuk menyajikan malware atau konten palsu kepada pengguna.

WinZip telah menjadi utilitas lama bagi pengguna Windows dengan kebutuhan pengarsipan file di luar dukungan yang dibangun di dalam sistem operasi.

WinZip saat ini di versi 25 tetapi rilis sebelumnya memeriksa server untuk pembaruan melalui koneksi yang tidak terenkripsi, kelemahan yang dapat dieksploitasi oleh aktor jahat.

Martin Rakhmanov dari Trustwave SpiderLabs menangkap lalu lintas dari versi alat yang rentan untuk menunjukkan komunikasi yang tidak terenkripsi.

Mengingat sifat saluran komunikasi yang tidak aman, Rakhmanov mengatakan bahwa lalu lintas dapat “dirampas, dimanipulasi, atau dibajak” oleh penyerang di jaringan yang sama dengan pengguna WinZip.

Satu risiko yang berasal dari tindakan ini adalah DNS poisoning, yang mengelabui aplikasi agar mengambil pembaruan palsu dari server web jahat.

Pada versi WinZip yang rentan, penyerang juga dapat memperoleh informasi yang berpotensi sensitif seperti nama pengguna dan kode pendaftaran.

Peneliti mengatakan bahwa skenario ini juga disertai dengan risiko mengeksekusi kode arbitrary pada mesin korban karena WinZip menawarkan beberapa API “kuat” ke JavaScript.

Dengan dirilisnya WinZip 25, komunikasi cleartext tidak lagi terjadi. Pengguna disarankan untuk memperbarui ke versi yang terbaru.

Sumber: Bleeping Computer

Kerentanan eksekusi kode jarak jauh ditemukan di platform seluler Starbucks

December 11, 2020 by Winnie the Pooh

Bug potensial eksekusi kode jarak jauh (RCE) telah ditambal di salah satu domain seluler Starbucks.

Raksasa kopi AS menjalankan platform bug bounty di HackerOne. Laporan kerentanan baru yang dikirimkan oleh Kamil “ko2sec” Onur Özkaleli, pertama kali dikirimkan pada 5 November dan dipublikasikan pada 9 Desember, menjelaskan masalah RCE yang ditemukan di mobile.starbucks.com.sg, sebuah platform untuk pengguna Singapura.

Menurut advisory, ko2sec menemukan endpoint .ashx di mobile.starbucks.com.sg yang dimaksudkan untuk menangani file gambar.

Namun, endpoint tidak membatasi upload jenis file, yang berarti penyerang yang menyalahgunakan masalah tersebut dan berpotensi mengupload file berbahaya lalu mengeksekusi kode arbitrer dari jarak jauh.

CVE belum dikeluarkan untuk kerentanan kritis tetapi skor keparahan 9,8 telah ditambahkan ke laporan.

RCE bukan satu-satunya pengajuan yang dibuat peneliti ke Starbucks. Pada bulan Oktober, Ko2sec menggambarkan eksploitasi pengambilalihan akun di situs web Starbucks Singapura yang disebabkan oleh open test environments.

Sangat memungkinkan untuk menargetkan pengguna dengan mengetahui alamat email mereka, melihat informasi pribadi mereka, dan bahkan menggunakan kredit apa pun yang dimuat di dompet akun mereka untuk melakukan pembelian.

Sumber: ZDNet

Operator Trojan njRAT sekarang menggunakan Pastebin sebagai alternatif dari server perintah pusat

December 11, 2020 by Winnie the Pooh

Operator njRAT Remote Access Trojan (RAT) memanfaatkan terowongan Pastebin C2 untuk menghindari pengawasan oleh peneliti keamanan siber.

Pada hari Rabu, tim cybersecurity Palo Alto Networks Unit 42 mengatakan njRAT, juga dikenal sebagai Bladabindi, digunakan untuk mendownload dan mengeksekusi payload tahap sekunder dari Pastebin, menghilangkan kebutuhan untuk membangun server command-and-control (C2) tradisional.

Tim peneliti tersebut mengatakan bahwa varian njRAT akan memanggil URL singkat yang ditautkan ke Pastebin dalam upaya untuk “menghindari deteksi oleh produk keamanan dan meningkatkan kemungkinan pengoperasian tanpa diketahui”.

Dikembangkan di .NET, njRAT adalah Trojan yang banyak digunakan yang mampu membajak fungsi mesin yang disusupi dari jarak jauh, termasuk mengambil screenshot, exfiltrasi data, keylogging, dan mematikan proses seperti program antivirus.

“Terowongan Pastebin C2” yang sekarang digunakan, seperti yang dijelaskan oleh para peneliti, menciptakan jalur antara infeksi njRAT dan muatan baru. Dengan Trojan bertindak sebagai pengunduh, itu akan mengambil data yang dikodekan di Pastebin, decode, dan deploy.

Palo Alto mengatakan arsitektur perintah berbasis Pastebin masih aktif dan banyak digunakan oleh RAT untuk mengirimkan muatan sekunder.

Sumber: ZDNet

Microsoft mengekspos Adrozek, malware yang membajak Chrome, Edge, dan Firefox

December 11, 2020 by Winnie the Pooh

Microsoft telah meningkatkan kewaspadaan tentang jenis malware baru yang menginfeksi perangkat pengguna dan kemudian mulai memodifikasi browser dan pengaturannya untuk memasukkan iklan ke halaman hasil pencarian.

Dinamakan Adrozek, malware tersebut telah aktif setidaknya sejak Mei 2020 dan mencapai puncak absolutnya pada Agustus tahun ini ketika ia mengendalikan lebih dari 30.000 browser setiap hari.

Dalam laporannya, Tim Riset Defender Microsoft 365 yakin bahwa jumlah pengguna yang terinfeksi jauh lebih tinggi. Peneliti Microsoft mengatakan bahwa antara Mei dan September 2020, mereka mengamati “ratusan ribu” deteksi Adrozek di seluruh dunia.

Berdasarkan telemetri internal, konsentrasi korban tertinggi tampaknya berada di Eropa, diikuti oleh Asia Selatan dan Tenggara.

Microsoft mengatakan bahwa, saat ini, malware didistribusikan melalui skema pengunduhan drive-by klasik. Pengguna biasanya dialihkan dari situs sah ke shady domain tempat mereka tertipu untuk memasang perangkat lunak berbahaya.

Boobytrapped software menginstal malware Androzek, yang kemudian melanjutkan untuk mendapatkan persistensi booting ulang dengan bantuan registry key. Setelah persistensi terjamin, malware akan mencari peramban yang dipasang secara lokal seperti Microsoft Edge, Google Chrome, Mozilla Firefox, atau Peramban Yandex.

Adrozek juga memodifikasi beberapa file DLL browser untuk mengubah pengaturan browser dan menonaktifkan fitur keamanan untuk menghindari deteksi.

Microsoft mengatakan bahwa di Firefox, Adrozek juga berisi fitur sekunder yang mengekstrak kredensial dari browser dan mengunggah data ke server penyerang.

Sumber: ZDNet

Phisher melewati kontrol keamanan Microsoft 365 dengan Microsoft.com yang dipalsukan

December 11, 2020 by Winnie the Pooh

Kampanye email phishing domain spoofing yang sangat meyakinkan meniru Microsoft dan berhasil menipu secure email gateway yang lama baru-baru ini telah ditemukan oleh Ironscales.

Itu juga membuat mereka menemukan bahwa server Microsoft saat ini tidak menerapkan protokol DMARC. “Hal ini sangat membingungkan ketika mengingat Microsoft sering menempati peringkat 5 teratas merek paling sering dipalsukan dari tahun ke tahun,” kata Lomy Ovadia, Wakil Presiden bidang penelitian dan pengembangan perusahaan.

Pada kampanye email phishing baru-baru ini, penyerang memalsukan domain pengirim agar terlihat seperti email yang berasal dari Microsoft. Kemudian penyerang menggunakan kemampuan Microsoft 365 yang relatif baru (untuk meninjau pesan yang dikarantina) sebagai alasan untuk mengelabui pengguna agar mengikuti tautan yang ditawarkan serta menciptakan rasa urgensi.

Tautan tersebut membawa pengguna ke halaman login palsu yang “meminta” kredensial login Microsoft 365, informasi tersebut nantinya akan dikirim ke penyerang.

“Alasan mengapa SEG [secure email gateway] secara tradisional dapat menghentikan spoofing domain yang tepat adalah karena, ketika dikonfigurasi dengan benar, kontrol ini sesuai dengan Domain-based Message Authentication, Reporting and Conformance (DMARC)”, kata Ovadia.

“Layanan email lain yang menghormati dan memberlakukan DMARC akan memblokir email semacam itu. Masih belum diketahui mengapa Microsoft mengizinkan adanya spoof domain mereka sendiri terhadap infrastruktur email mereka,” Ovadia menyimpulkan.

Saat ini kampanye phishing ditujukan untuk pengguna perusahaan Microsoft 365 dalam berbagai industri (finsec, perawatan kesehatan, asuransi, manufaktur, utilitas, telekomunikasi, dll.).

Sumber: Help Net Security

Google open-source Atheris, alat untuk menemukan bug keamanan dalam kode Python

December 10, 2020 by Winnie the Pooh

Pakar keamanan Google telah merilis utilitas fuzzing otomatis open-source lainnya dengan harapan pengembang akan menggunakannya untuk menemukan bug keamanan dan menambal kerentanan sebelum dieksploitasi.

Dinamakan Atheris, proyek ini adalah fuzzer klasik.

Fuzzer (atau alat fuzzing) dan teknik fuzzing bekerja dengan memberi data acak dalam jumlah besar ke aplikasi perangkat lunak dan menganalisis output nya untuk mengetahui ketidaknormalan dan kerusakan, yang memberi petunjuk kepada pengembang tentang keberadaan dan lokasi kemungkinan bug dalam kode aplikasi.

Selama bertahun-tahun, peneliti keamanan Google telah menjadi promotor terbesar dalam menggunakan alat fuzzing untuk menemukan tidak hanya bug biasa, tetapi juga kerentanan berbahaya yang dapat dieksploitasi oleh penyerang.

Atheris adalah jawaban Google atas meningkatnya popularitas bahasa pemrograman Python, yang saat ini menduduki peringkat ke-3 dalam indeks TIOBE bulan lalu. Google telah membuat kode Atheris menjadi open source di GitHub, dan fuzzer juga tersedia di PyPI, repositori paket Python.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings