Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for DLL

DLL

Peretas ‘Mustang Panda’ Cina Secara Aktif Menargetkan Pemerintah di Seluruh Dunia

by

Seorang aktor ancaman gigih terkenal yang dikenal sebagai Mustang Panda telah dikaitkan dengan serentetan serangan spear-phishing yang menargetkan sektor pemerintah, pendidikan, dan penelitian di seluruh dunia.

Sasaran utama intrusi dari Mei hingga Oktober 2022 termasuk negara-negara di kawasan Asia Pasifik seperti Myanmar, Australia, Filipina, Jepang, dan Taiwan, kata perusahaan keamanan siber Trend Micro dalam laporan Jumat.

Dalam beberapa kasus, pesan phishing dikirim dari akun email yang sebelumnya disusupi milik entitas tertentu, menunjukkan upaya yang dilakukan oleh aktor Mustang Panda untuk meningkatkan kemungkinan keberhasilan kampanyenya.

File arsip, ketika dibuka, dirancang untuk menampilkan dokumen iming-iming kepada korban, sambil secara diam-diam memuat malware di latar belakang melalui metode yang disebut sebagai pemuatan samping DLL.

Rantai serangan pada akhirnya mengarah pada pengiriman tiga keluarga malware – PUBLOAD, TONEINS, dan TONESHELL – yang mampu mengunduh muatan tahap berikutnya dan terbang di bawah radar.

TONESHELL, pintu belakang utama yang digunakan dalam serangan, diinstal melalui TONEINS dan merupakan pemuat kode shell, dengan versi awal implan terdeteksi pada September 2021, menunjukkan upaya berkelanjutan dari pihak pelaku ancaman untuk memperbarui persenjataannya.

“Begitu kelompok tersebut menyusup ke sistem korban yang ditargetkan, dokumen sensitif yang dicuri dapat disalahgunakan sebagai vektor masuk untuk gelombang penyusupan berikutnya. Strategi ini sebagian besar memperluas cakupan yang terpengaruh di wilayah yang terlibat.”

sumber : the hacker news

Pemerintah dan Organisasi Asia Menjadi Sasaran Serangan Spionase Siber Terbaru

by

Pemerintah dan organisasi milik negara di sejumlah negara Asia telah menjadi sasaran kelompok peretas spionase yang berbeda sebagai bagian dari misi pengumpulan intelijen yang telah berlangsung sejak awal 2021.

Kampanye tersebut dikatakan secara eksklusif ditujukan untuk lembaga pemerintah yang terkait dengan keuangan, kedirgantaraan, dan pertahanan, serta perusahaan media, TI, dan telekomunikasi milik negara.

Pemuatan samping pustaka tautan dinamis (DLL) adalah metode serangan siber populer yang memanfaatkan cara aplikasi Microsoft Windows menangani file DLL. Dalam intrusi ini, DLL berbahaya palsu ditanam di direktori Windows Side-by-Side (WinSxS) sehingga sistem operasi memuatnya alih-alih file yang sah.

Serangan tersebut memerlukan penggunaan versi lama dan usang dari solusi keamanan, perangkat lunak grafis, dan browser web yang pasti tidak memiliki mitigasi untuk pemuatan samping DLL, menggunakannya sebagai saluran untuk memuat kode shell arbitrer yang dirancang untuk mengeksekusi muatan tambahan.

Selain itu, paket perangkat lunak juga berfungsi ganda sebagai sarana untuk memberikan alat untuk memfasilitasi pencurian kredensial dan pergerakan lateral di seluruh jaringan yang disusupi.

“Aktor ancaman memanfaatkan PsExec untuk menjalankan versi lama dari perangkat lunak sah yang kemudian digunakan untuk memuat alat malware tambahan seperti Trojan akses jarak jauh (RATS) yang tersedia melalui pemuatan samping DLL pada komputer lain di jaringan,” para peneliti mencatat.

Dalam salah satu serangan terhadap organisasi milik pemerintah di sektor pendidikan di Asia berlangsung dari April hingga Juli 2022, di mana musuh mengakses mesin hosting database dan email, sebelum mengakses pengontrol domain.

Penyusupan tersebut juga memanfaatkan Bitdefender Crash Handler (“javac.exe”) versi 11 tahun untuk meluncurkan versi Mimikatz (“calc.exe”) yang telah diganti namanya, kerangka kerja pengujian penetrasi Golang open source yang disebut LadonGo, dan muatan khusus lainnya di beberapa host.

Salah satunya adalah pencuri informasi kaya fitur yang sebelumnya tidak berdokumen yang dijuluki Logdatter yang mampu mencatat penekanan tombol, menangkap tangkapan layar, menghubungkan dan menanyakan database SQL, mengunduh file, dan mencuri data clipboard.

Dalam serangan, itu adalah alat pemindaian intranet yang tersedia untuk umum bernama Fscan untuk melakukan upaya eksploitasi yang memanfaatkan kerentanan ProxyLogon Microsoft Exchange Server.

Identitas kelompok ancaman tidak jelas, meskipun dikatakan telah menggunakan ShadowPad dalam kampanye sebelumnya, Backdoor modular yang dibuat sebagai penerus PlugX (alias Korplug) dan dibagikan di antara banyak aktor ancaman China.

Symantec mengatakan memiliki bukti terbatas yang menghubungkan serangan aktor ancaman sebelumnya yang melibatkan malware PlugX dengan kelompok peretas China lainnya seperti APT41 (alias Wicked Panda) dan Mustang Panda. Terlebih lagi, penggunaan file Bitdefender yang sah untuk melakukan sideload shellcode telah diamati pada serangan sebelumnya yang dikaitkan dengan APT41.

Sumber: The Hackernews

Malware Amadey didorong melalui celah perangkat lunak dalam kampanye SmokeLoader

by

Versi baru malware Amadey Bot didistribusikan melalui malware SmokeLoader, menggunakan celah perangkat lunak dan situs keygen sebagai umpan.

Amadey Bot adalah jenis malware yang ditemukan empat tahun lalu, mampu melakukan pengintaian sistem, mencuri informasi, dan memuat muatan tambahan.

Sementara distribusinya telah memudar setelah tahun 2020, peneliti Korea di AhnLab melaporkan bahwa versi baru telah memasuki sirkulasi dan didukung oleh malware SmokeLoader yang sama tua tetapi masih sangat aktif.

Ini adalah penyimpangan dari ketergantungan Amadey pada Fallout, dan kit exploit Rig, yang umumnya tidak populer karena menargetkan kerentanan yang sudah ketinggalan zaman.

SmokeLoader diunduh dan dieksekusi secara sukarela oleh para korban, menyamar sebagai crack perangkat lunak atau keygen. Karena crack dan key generator biasanya memicu peringatan antivirus, biasanya pengguna menonaktifkan program antivirus sebelum menjalankan program, menjadikannya metode yang ideal untuk mendistribusikan malware.

Setelah dieksekusi, ia menyuntikkan “Bot Utama” ke dalam proses (explorer.exe) yang sedang berjalan, sehingga OS mempercayainya dan mengunduh Amadey di sistem.

Setelah Amadey diambil dan dieksekusi, ia menyalin dirinya sendiri ke folder TEMP dengan nama ‘bguuwe.exe’ dan membuat tugas terjadwal untuk mempertahankan kegigihan menggunakan perintah cmd.exe.

Detail instalasi Amadey (ASEC)

Selanjutnya, Amadey membuat komunikasi C2 dan mengirimkan profil sistem ke server pelaku ancaman, termasuk versi OS, tipe arsitektur, daftar alat antivirus yang diinstal, dll.

Dalam versi terbarunya, nomor 3.21, Amadey dapat menemukan 14 produk antivirus dan, mungkin berdasarkan hasil, mengambil muatan yang dapat menghindari yang sedang digunakan.

Server merespons dengan instruksi untuk mengunduh plugin tambahan dalam bentuk DLL, serta salinan pencuri info tambahan, terutama RedLine (‘yuri.exe’).

Payload diambil dan diinstal dengan melewati UAC dan eskalasi hak istimewa. Amadey menggunakan program bernama ‘FXSUNATD.exe’ untuk tujuan ini dan melakukan elevasi ke admin melalui pembajakan DLL.

Selain itu, pengecualian yang sesuai pada Windows Defender ditambahkan menggunakan PowerShell sebelum mengunduh muatan.

Pengecualian PowerShell dan auto-elevate (ASEC)

Selain itu, Amadey menangkap tangkapan layar secara berkala dan menyimpannya di jalur TEMP untuk dikirim ke C2 dengan permintaan POST berikutnya.

POST permintaan tangkapan layar eksfiltrasi (ASEC)

Salah satu plugin DLL yang diunduh, ‘cred.dll,’ yang dijalankan melalui ‘rundll32.exe,’ mencoba mencuri informasi dari perangkat lunak berikut:

Program Manajemen Router Mikrotik Winbox
Pandangan
FileZilla
Pijin
Total Commander FTP Client
RealVNC, TightVNC, TigerVNC
WinSCP

Tentu saja, jika RedLine dimuat ke host, cakupan penargetan diperluas secara dramatis, dan korban berisiko kehilangan kredensial akun, komunikasi, file, dan aset cryptocurrency.

Untuk menghindari bahaya Amadey Bot dan RedLine, hindari mengunduh file yang retak, aktivator produk perangkat lunak, atau pembuat kunci tidak sah yang menjanjikan akses gratis ke produk premium.

Sumber: Bleeping Computer

Adobe Acrobat dapat memblokir alat antivirus dari pemantauan file PDF

by

Peneliti keamanan menemukan bahwa Adobe Acrobat sedang mencoba untuk memblokir perangkat lunak keamanan agar tidak terlihat ke dalam file PDF yang dibukanya, menciptakan risiko keamanan bagi pengguna.

Agar alat keamanan berfungsi, diperlukan visibilitas ke semua proses pada sistem, yang dicapai dengan menyuntikkan pustaka tautan dinamis (DLL) ke dalam produk perangkat lunak yang diluncurkan pada mesin.

File PDF telah disalahgunakan di masa lalu untuk mengeksekusi malware pada sistem. Salah satu metode tersebut adalah menambahkan perintah di bagian ‘OpenAction’ dokumen untuk menjalankan perintah PowerShell untuk aktivitas jahat, jelas para peneliti di perusahaan keamanan siber Minerva Labs.

Menurut laporan minggu ini, daftar tersebut telah berkembang menjadi 30 DLL dari produk keamanan dari berbagai vendor. Di antara yang lebih populer dengan konsumen adalah Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

Sementara Chromium DLL hadir dengan daftar pendek komponen yang akan masuk daftar hitam karena menyebabkan konflik, vendor yang menggunakannya dapat membuat modifikasi dan menambahkan DLL apa pun yang mereka inginkan.

Daftar DLL hardcoded Chromium, sumber: Minerva Labs

Para peneliti menjelaskan bahwa “libcef.dll dimuat oleh dua proses Adobe: AcroCEF.exe dan RdrCEF.exe” sehingga kedua produk memeriksa sistem untuk komponen produk keamanan yang sama.

Melihat lebih dekat pada apa yang terjadi dengan DLL yang disuntikkan ke dalam proses Adobe, Minerva Labs menemukan bahwa Adobe memeriksa apakah nilai bBlockDllInjection di bawah kunci registri ‘SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\’ diatur ke 1. Jika demikian, itu akan mencegah DLL perangkat lunak antivirus disuntikkan ke dalam proses.

Perlu dicatat bahwa nilai kunci registri saat Adobe Reader dijalankan untuk pertama kalinya adalah ‘0’ dan dapat dimodifikasi kapan saja.

Menurut peneliti Minerva Labs Natalie Zargarov, nilai default untuk kunci registri diatur ke ‘1’ – menunjukkan pemblokiran aktif. Pengaturan ini mungkin bergantung pada sistem operasi atau versi Adobe Acrobat yang diinstal, serta variabel lain pada sistem.

Dalam sebuah posting di forum Citrix pada tanggal 28 Maret, seorang pengguna yang mengeluh tentang kesalahan Sophos AV karena menginstal produk Adobe mengatakan bahwa perusahaan “menyarankan untuk menonaktifkan injeksi DLL untuk Acrobat dan Reader.

Adobe menanggapi pengguna Citrix yang mengalami kesalahan pada mesin dengan Sophos AV

Adobe mengonfirmasi bahwa pengguna telah melaporkan mengalami masalah karena komponen DLL dari beberapa produk keamanan tidak kompatibel dengan penggunaan perpustakaan CEF oleh Adobe Acrobat.

Perusahaan menambahkan bahwa saat ini sedang bekerja dengan vendor untuk mengatasi masalah dan “untuk memastikan fungsionalitas yang tepat dengan desain kotak pasir CEF Acrobat ke depan.”

Peneliti Minerva Labs berpendapat bahwa Adobe memilih solusi yang memecahkan masalah kompatibilitas tetapi memperkenalkan risiko serangan nyata dengan mencegah perangkat lunak keamanan melindungi sistem.

Sumber: Bleeping Computer

Malware Windows ‘Pingback’ baru menggunakan ICMP untuk komunikasi rahasia

by

Hari ini, para peneliti telah mengungkapkan temuan mereka pada sampel malware Windows baru yang menggunakan Internet Control Message Protocol (ICMP) untuk aktivitas command-and-control (C2).

Dijuluki “Pingback”, malware ini menargetkan sistem Microsoft Windows 64-bit, dan menggunakan DLL Hijacking untuk terus bertahan.

Hari ini, arsitek senior Trustwave Lloyd Macrohon dan peneliti keamanan utama Rodel Mendrez, telah merilis temuan mereka tentang malware Windows baru yang berbentuk DLL 64-bit.

Yang perlu diperhatikan adalah sampel malware menggunakan protokol komunikasi ICMP, yang juga digunakan oleh perintah ping populer dan utilitas Windows traceroute.

File berbahaya yang dimaksud hanyalah DLL 66-KB yang disebut oci.dll, dan biasanya dijatuhkan di dalam folder “Sistem” Windows oleh proses berbahaya atau vektor serangan lainnya.

Para peneliti lalu menyadari bahwa DLL ini tidak dimuat oleh aplikasi Windows rundll32.exe yang sudah dikenal, tetapi mengandalkan DLL Hijacking.

Peneliti Trustwave mengidentifikasi bahwa itu adalah layanan Microsoft Distributed Transaction Control (msdtc) yang disalahgunakan untuk memuat oci.dll yang berbahaya.

Malware oci.dll yang diluncurkan oleh msdtc, menggunakan ICMP untuk secara diam-diam menerima perintah dari server C2-nya.

Peneliti Trustwave yang menamai malware ini “Pingback”, menyatakan bahwa keuntungan menggunakan ICMP untuk komunikasi adalah Pingback tetap tersembunyi secara efektif dari pengguna.

Selengkapnya: Bleeping Computer

Researchers found DLL vulnerabilities in Three softwares

by

 

Source: ZDNet

 

Pada hari Senin, SafeBreach Labs menerbitkan tiga laporan keamanan yang menjelaskan tentang bug yang mereka temukan, yang semuanya dilaporkan secara pribadi kepada vendor sebelum diungkapkan kepada publik. Mereka telah mengungkapkan serangkaian kerentanan keamanan dalam perangkat lunak Autodesk, Trend Micro, dan Kaspersky.

 

Kerentanan tersebut dilaporkan ke Trend Micro, Kaspersky, dan Autodesk pada bulan Juli, dengan masing-masing kelemahan keamanan dikonfirmasi pada bulan yang sama atau pada bulan Agustus.

 

Cek link di atas untuk mencari tahu apa saja kerentanan tersebut.