Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

FamousSparrow APT Memata-matai Hotel, Pemerintah

by

Sebuah kelompok mata-mata siber yang dijuluki “FamousSparrow” oleh para peneliti telah meluncur, menargetkan hotel, pemerintah, dan organisasi swasta di seluruh dunia dengan backdoor khusus yang disebut, “SparrowDoor.” Ini adalah salah satu ancaman persisten tingkat lanjut (APT) yang menargetkan kerentanan ProxyLogon awal tahun ini, menurut ESET, meskipun aktivitasnya baru-baru ini terungkap.

Menurut perusahaan, backdoor memiliki kemampuan untuk: mengganti nama atau menghapus file; membuat direktori; mematikan proses; mengirim informasi seperti atribut file, ukuran file, dan waktu penulisan file; mengekstrak konten file tertentu; menulis data ke file tertentu; atau membuat reverse shell interaktif. Ada juga tombol pemutus untuk menghapus pengaturan persistensi dan semua file SparrowDoor dari mesin korban.

“Penargetan, yang mencakup pemerintah di seluruh dunia, menunjukkan bahwa niat FamousSparrow adalah spionase,” catat para peneliti.

Bug eksekusi kode jarak jauh (RCE) ProxyLogon diungkapkan pada bulan Maret, dan digunakan oleh lebih dari 10 grup APT untuk membuat akses melalui kode shell ke server email Exchange di seluruh dunia dalam serangkaian serangan.

Dalam kasus FamousSparrow, ia menggunakan bug untuk menyebarkan SparrowDoor, yang telah terlihat dalam serangan lain (banyak di antaranya terhadap hotel), menurut ESET. Kampanye tambahan ini telah terjadi sebelum dan sesudah ProxyLogon, dan dimulai pada Agustus 2019, catat para peneliti.

Ketika mereka dapat menentukan vektor kompromi awal, para peneliti menemukan bahwa modus operandi FamousSparrow tampaknya merupakan eksploitasi aplikasi web yang rentan terhadap internet.

FamousSparrow terutama menargetkan hotel, tetapi ESET mengamati target di sektor lain, termasuk pemerintahan, organisasi internasional, perusahaan teknik, dan firma hukum.

Selengkapnya: The Threat Post

Operasi Phishing-as-a-Service Skala Besar Terkena

by

Microsoft menemukan operasi phishing-as-a-service (PhaaS) berskala besar, terorganisir dengan baik, dan canggih.

Platform turnkey memungkinkan pengguna untuk menyesuaikan kampanye dan mengembangkan taktik phishing mereka sendiri sehingga mereka kemudian dapat menggunakan platform PhaaS untuk membantu kit phishing, template email, dan layanan hosting yang diperlukan untuk meluncurkan serangan.

Peneliti Microsoft menemukan operasi tersebut, yang dipasarkan oleh penjahat sebagai BulletProofLink, ketika mereka menemukan volume tinggi subdomain yang baru dibuat dan unik—lebih dari 300.000 dalam sekali jalan, menurut sebuah pos yang diterbitkan oleh Tim Defender Threat Intelligence Microsoft 365.

“Penyelidikan ini membawa kami ke lubang kelinci saat kami menemukan salah satu operasi yang memungkinkan kampanye tersebut,” tulis para peneliti.

Dengan lebih dari 100 template phishing yang tersedia yang meniru merek dan layanan terkenal—termasuk Microsoft sendiri—operasi BulletProofLink bertanggung jawab atas banyak kampanye phishing yang berdampak pada perusahaan saat ini, kata mereka.

BulletProofLink—juga dikenal sebagai BulletProftLink atau Anthrax oleh operatornya di berbagai situs web, iklan, dan materi promosi lainnya—memberikan titik awal bagi orang-orang tanpa sumber daya yang signifikan untuk masuk ke bisnis phishing.

Para peneliti mempelajari lebih dalam mengenai operasi PhaaS BulletProofLink untuk mengungkap bagaimana grup tersebut telah menciptakan jaringan phisher yang berkembang pesat.

Biaya layanan bulanan sebanyak $800, sementara layanan lain berharga sekitar $50 dolar untuk tautan hosting satu kali, dengan Bitcoin menjadi metode pembayaran umum di situs BulletProofLink.

Poin menarik tentang model kerja PhaaS yang digunakan BulletProofLink adalah model ini mengikuti metode pemerasan ganda model RaaS—atau dalam hal ini, “pencurian ganda”, seperti yang dijelaskan para peneliti. Grup tersebut menyertakan lokasi sekunder dalam kit phishingnya untuk kredensial yang akan dikirim setelah diperoleh.

Sumber: The Threat Post

Bug zero-day macOS baru memungkinkan penyerang menjalankan perintah dari jarak jauh

by

Peneliti keamanan mengungkapkan kerentanan baru di MacOS Finder Apple, yang memungkinkan penyerang menjalankan perintah di Mac yang menjalankan versi macOS apa pun hingga rilis terbaru, Big Sur.

Bug, yang ditemukan oleh peneliti keamanan independen Park Minchan, disebabkan oleh cara macOS memproses file inetloc, yang secara tidak sengaja menyebabkannya menjalankan perintah apa pun yang disematkan oleh penyerang tanpa peringatan apa pun.

Di macOS, file lokasi Internet dengan ekstensi .inetloc adalah penanda seluruh sistem yang dapat digunakan untuk membuka sumber daya online (news://, ftp://, afp://) atau file lokal (file://).

“Kerentanan di macOS Finder memungkinkan file yang ekstensinya inetloc untuk menjalankan perintah arbitrer,” advisory SSD Secure Disclosure mengungkapkan.

“File-file ini dapat disematkan di dalam email yang jika pengguna mengkliknya akan menjalankan perintah yang tertanam di dalamnya tanpa memberikan prompt atau peringatan kepada pengguna.”

Sementara Apple diam-diam memperbaiki masalah tanpa menetapkan nomor identifikasi CVE, seperti yang ditemukan kemudian oleh Minchan, patch Apple hanya mengatasi sebagian kekurangannya karena masih dapat dieksploitasi dengan mengubah protokol yang digunakan untuk menjalankan perintah yang disematkan dari file:// ke File://.

Meskipun peneliti tidak memberikan informasi apa pun tentang bagaimana penyerang dapat menyalahgunakan bug ini, bug ini berpotensi digunakan oleh pelaku ancaman untuk membuat lampiran email berbahaya yang dapat meluncurkan paket atau muatan jarak jauh saat dibuka oleh target.

Seumber: Bleeping Computer

REvil Mengkonfirmasi Adanya Kecurangan Pembayaran Tebusan Ransomware

by

Sehari setelah tersiar kabar tentang REvil yang telah mengacaukan afiliasi mereka sendiri dari pembayaran ransomware – dengan menggunakan obrolan ganda dan pintu belakang yang memungkinkan operator REvil membajak pembayaran tebusan – afiliasi-afiliasi tersebut turun ke forum peretasan berbahasa Rusia teratas untuk memperbarui tuntutan mereka agar REvil membayar bagian mereka yang dicuri dari pembayaran tebusan.

Advanced Intelligence, firma intelijen ancaman yang mengungkapkan pintu belakang dan obrolan ganda, mengatakan kepada Threatpost pada hari Kamis bahwa aktor terkenal dengan reputasi mapan di forum peretasan bahasa Rusia – Exploit – menggunakan temuan laporan AdvIntel untuk merevitalisasi klaim yang diajukan pada bulan Mei terhadap REvil di bawah tanah Rusia.

Cara operasi ransomware-as-a-service (RaaS) seperti REvil atau DarkSide bekerja adalah bahwa afiliasi melakukan semua pekerjaan kotor kompromi jaringan, dengan imbalan (dalam kasus REvil RaaS asli) 70 persen dari tebusan apa pun yang ditebus oleh para korban.

REvil seharusnya mengantongi sisa 30 persen saja – dan hanya sebanyak itu – dari pembayaran tebusan, sebagai imbalan untuk menyediakan muatan ransomware yang digunakan afiliasi untuk menguasai data dan sistem korban.

Tetapi ketika negosiasi tiba-tiba, secara misterius runtuh dan afiliasi dibiarkan dalam kesulitan, mereka mulai curiga, dan mereka beralih ke arbitrase versi bawah tanah.

Menurut Yelisey Boguslavskiy dari AdvIntel – kepala penelitian di perusahaan pencegahan risiko dunia maya – afiliasi yang ditipu telah mengambil rute itu pada Mei 2021, berusaha untuk mendapatkan kembali $ 21,5 juta USD dari REvil karena diduga menipu mereka.

Pengulangan aktor ancaman itu mengkonfirmasi asumsi AdvIntel: Kepemimpinan REvil memang menciptakan pintu belakang yang memungkinkan mereka untuk memotong negosiasi tebusan antara korban dan afiliasi geng itu sendiri, untuk menjalankan obrolan ganda yang memungkinkan kepemimpinan berpura-pura sebagai korban yang menyerah di tengah-tengah negosiasi, dan kemudian masuk untuk melanjutkan negosiasi, memotong afiliasi dari kesepakatan, dan mengantongi seluruh pembayaran tebusan.

Selengkapnya: The Threat Post

100M Perangkat IoT Memiliki Bug Zero-Day

by

Cacat dalam kode infrastruktur internet-of-things (IoT) yang banyak digunakan membuat lebih dari 100 juta perangkat di 10.000 perusahaan rentan terhadap serangan.

Para peneliti di Guardara menggunakan teknologi mereka untuk menemukan kerentanan zero-day di NanoMQ, platform open-source dari EMQ yang memantau perangkat IoT secara real time, kemudian bertindak sebagai “perantara pesan” untuk menyampaikan peringatan bahwa aktivitas atipikal telah terdeteksi.

Produk EMQ digunakan untuk memantau kesehatan pasien yang meninggalkan rumah sakit, mendeteksi kebakaran, memantau sistem mobil, dalam jam tangan pintar, dalam aplikasi smart city, dan banyak lagi.

CEO Guardara Mitali Rakhit mengatakan kepada Threatpost bahwa kerentanan diberi skor CVSS 7.1, menjadikannya tingkat keparahan yang tinggi.

Bug ini disebabkan oleh pembatasan operasi yang tidak tepat dalam batas buffer memori (CWE-119).

Zsolt Imre dari Guardara menjelaskan di GitHub bahwa masalahnya ada pada panjang paket MQTT. MQTT adalah standar protokol perpesanan untuk IoT, dirancang sebagai transportasi perpesanan publish/subscribe yang sangat ringan untuk menghubungkan perangkat jarak jauh dengan jejak kode kecil, yang membutuhkan bandwidth jaringan minimal.

Dengan demikian, MQTT digunakan di berbagai industri yang menggunakan sensor pintar bandwidth rendah, seperti otomotif, manufaktur, telekomunikasi, minyak dan gas, dan sebagainya.

Dalam implementasi NanoMQ, “ketika panjang paket MQTT diubah dan lebih rendah dari yang diharapkan, operasi ‘memcpy’ menerima nilai ukuran yang membuat lokasi buffer sumber menunjuk ke atau ke area memori yang tidak terisi,” tulis Imre. “Akibatnya, NanoMQ crash.”

Semua penyerang akan perlu untuk mengeksploitasi kerentanan dan sistem crash adalah jaringan dasar dan keterampilan scripting, Rakhit menambahkan.

Jenis serangan penolakan layanan ini bisa sangat berbahaya karena memengaruhi ketersediaan peralatan yang sangat penting.

Selengkapnya: The Threat Post

Google Peringatkan Cara Baru Peretas Dapat Membuat Malware Tidak Terdeteksi di Windows

by

Peneliti keamanan siber telah mengungkapkan teknik baru yang diadopsi oleh aktor siber untuk secara sengaja menghindari deteksi dengan bantuan tanda tangan digital yang cacat dari muatan malware-nya.

“Penyerang membuat tanda tangan kode cacat yang dianggap valid oleh Windows tetapi tidak dapat didekodekan atau diperiksa oleh kode OpenSSL – yang digunakan dalam sejumlah produk pemindaian keamanan,” Neel Mehta dari Google Threat Analysis Group mengatakan dalam sebuah tulisan yang diterbitkan pada hari Kamis.

Mekanisme baru ini diamati dieksploitasi oleh keluarga terkenal dari Unwanted Software yang dikenal sebagai OpenSUpdater yang digunakan untuk mengunduh dan menginstal program mencurigakan lainnya pada sistem yang disusupi.

Sebagian besar target kampanye adalah pengguna yang berada di A.S. yang cenderung mengunduh versi game yang sudah di-crack dan perangkat lunak ilegal lainnya.

Temuan ini berasal dari sekumpulan sampel OpenSUpdater yang diunggah ke VirusTotal setidaknya sejak pertengahan Agustus.

Sementara musuh di masa lalu mengandalkan sertifikat digital yang diperoleh secara ilegal untuk menyelinap adware dan perangkat lunak lain yang tidak diinginkan melewati alat pendeteksi malware atau dengan menyematkan kode serangan ke dalam tanda tangan digital, komponen perangkat lunak tepercaya dengan meracuni rantai pasokan perangkat lunak, OpenSUpdater menonjol karena penggunaan tanda tangan cacat yang disengaja untuk lolos dari pertahanan.

Sumber: The Hacker News

Microsoft Autodiscover disalahgunakan untuk mengumpulkan kredensial

by

Para peneliti menemukan sebuah “kesalahan desain” dalam protokol Microsoft Autodiscover yang dapat memanen kredensial domain.

Pada hari Rabu, AVP Riset Keamanan Guardicore Labs Amit Serper menerbitkan hasil analisis Autodiscover, protokol yang digunakan untuk mengautentikasi ke server Microsoft Exchange dan untuk mengonfigurasi akses klien.

Ada iterasi berbeda dari protokol yang tersedia untuk digunakan. Guardicore menjelajahi implementasi Autodiscover berdasarkan POX XML dan menemukan “kesalahan desain” yang dapat dieksploitasi untuk ‘membocorkan’ permintaan web ke domain Autodiscover di luar domain pengguna, selama mereka berada di top-level (TLD) domain yang sama.

Untuk menguji protokol, tim terlebih dahulu mendaftarkan dan membeli sejumlah domain dengan akhiran TLD, termasuk Autodiscover.com.br, Autodiscover.com.cn, Autodiscover.com.fr, dan Autodiscover.com.uk, dan seterusnya.

Domain-domain ini kemudian ditugaskan ke server web Guardicore, dan para peneliti mengatakan bahwa mereka “hanya menunggu permintaan web untuk berbagai endpoint Autodiscover tiba.”

Secara total, Guardicore mampu menangkap 372.072 kredensial domain Windows dan 96.671 set kredensial unik dari sumber termasuk Microsoft Outlook dan klien email antara 16 April dan 25 Agustus 2021. Beberapa set dikirim melalui otentikasi dasar HTTP.

Untuk memitigasi masalah ini, Guardicore mengatakan bahwa domain TLD Autodiscover harus diblokir oleh firewall, dan ketika setup Exchange sedang dikonfigurasi, dukungan untuk otentikasi dasar harus dinonaktifkan — karena ini “sama seperti mengirim kata sandi dalam teks yang jelas melalui wire.”

Sumber: ZDNet

Bug Baru di Microsoft Windows Dapat Membiarkan Peretas Menginstal Rootkit dengan Mudah

by

Peneliti keamanan telah mengungkapkan kelemahan yang belum ditambal di Microsoft Windows Platform Binary Table (WPBT) yang memengaruhi semua perangkat berbasis Windows sejak Windows 8 yang berpotensi dieksploitasi untuk menginstal rootkit dan membahayakan integritas perangkat.

“Kelemahan ini membuat setiap sistem Windows rentan terhadap serangan yang dibuat dengan mudah yang memasang tabel khusus vendor palsu,” kata peneliti dari Eclypsium dalam sebuah laporan yang diterbitkan pada hari Senin. “Tabel-tabel ini dapat dieksploitasi oleh penyerang dengan akses fisik langsung, dengan akses jarak jauh, atau melalui rantai pasokan pabrikan. Lebih penting lagi, kelemahan tingkat motherboard ini dapat meniadakan inisiatif seperti Secured-core karena penggunaan ACPI [Advanced Configuration and Power Interface] dan WPBT di mana-mana.”

WPBT, diperkenalkan dengan Windows 8 pada tahun 2012, adalah fitur yang memungkinkan “boot firmware untuk menyediakan Windows dengan platform binary yang dapat dijalankan oleh sistem operasi.”

Dengan kata lain, ini memungkinkan produsen PC untuk menunjuk ke executable portabel yang ditandatangani atau driver khusus vendor lainnya yang datang sebagai bagian dari image ROM firmware UEFI sedemikian rupa sehingga dapat dimuat ke dalam memori fisik selama inisialisasi Windows dan sebelum menjalankan kode sistem operasi apa pun.

Tujuan utama WPBT adalah untuk memungkinkan fitur penting seperti perangkat lunak anti-theft tetap ada bahkan dalam skenario di mana sistem operasi telah dimodifikasi, diformat, atau diinstal ulang. Tetapi mengingat kemampuan fungsionalitas untuk membuat perangkat lunak semacam itu “menempel pada perangkat tanpa batas waktu,” Microsoft telah memperingatkan potensi risiko keamanan yang dapat timbul dari penyalahgunaan WPBT, termasuk kemungkinan menyebarkan rootkit pada mesin Windows.

Kerentanan yang ditemukan oleh perusahaan keamanan enterprise firmware berakar pada kenyataan bahwa mekanisme WPBT dapat menerima binary yang ditandatangani dengan sertifikat yang dicabut atau kedaluwarsa untuk sepenuhnya melewati pemeriksaan integritas, sehingga memungkinkan penyerang untuk menandatangani binary berbahaya dengan dengan sertifikat kedaluwarsa yang sudah tersedia dan menjalankan kode berbahaya dengan hak kernel saat perangkat melakukan booting.

Menanggapi temuan tersebut, Microsoft telah merekomendasikan penggunaan kebijakan Windows Defender Application Control (WDAC) untuk mengontrol secara ketat binari apa yang dapat diizinkan untuk berjalan di perangkat.

Selengkapnya: The Hacker News