Hafnium

Microsoft: Windows Diserang oleh Aktor Ancaman China

July 25, 2022 by Eevee

Raksasa teknologi Microsoft telah memperingatkan pengguna tentang kampanye malware dan ancaman dunia maya terbaru dan memberi tahu mereka bahwa kelompok aktor ancaman yang disponsori negara yang berbasis di China: Hafnium.

Menurut Windows Central, kali ini, peringatan itu ditujukan untuk Tarrask, “malware penghindaran pertahanan” yang menggunakan Windows Task Scheduler untuk menyembunyikan status perangkat yang disusupi dari dirinya sendiri.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata perusahaan itu dalam sebuah posting blog.

Serangan itu berasal dari Hafnium, kelompok yang disponsori negara, berbasis di China yang mungkin diingat oleh pengguna sebagai masalah besar karena keterlibatannya dalam krisis Microsoft Exchange pada tahun 2021.

Data yang dikumpulkan selama cobaan itu telah berspekulasi menjadi bahan bakar untuk inovasi AI oleh pemerintah China, kata laporan itu.

Perusahaan mengatakan sedang melacak Hafnium menggunakan malware Tarrask untuk memastikan bahwa PC yang disusupi tetap rentan, menggunakan bug Penjadwal Tugas Windows untuk membersihkan jejak dan memastikan bahwa artefak pada disk dari aktivitas Tarrask tidak bertahan untuk mengungkapkan apa yang terjadi.

Raksasa teknologi ini juga mendemonstrasikan bagaimana pelaku ancaman membuat tugas terjadwal, bagaimana mereka menutupi jejak mereka, bagaimana teknik penghindaran malware digunakan untuk mempertahankan dan memastikan kegigihan pada sistem dan bagaimana melindungi dari taktik ini.

Sumber: Business Standard

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

April 13, 2022 by Eevee

Microsoft telah menemukan malware baru yang digunakan oleh kelompok peretas Hafnium yang didukung China untuk mempertahankan kegigihan pada sistem Windows yang disusupi dengan membuat dan menyembunyikan tugas terjadwal.

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

Ini juga merupakan salah satu grup yang disponsori negara yang dihubungkan oleh Microsoft dengan eksploitasi skala global tahun lalu dari kelemahan zero-day ProxyLogon yang berdampak pada semua versi Microsoft Exchange yang didukung.

“Investigasi lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Alat peretasan ini, dijuluki Tarrask, menggunakan bug Windows yang sebelumnya tidak dikenal untuk menyembunyikannya dari “schtasks/query” dan Penjadwal Tugas dengan menghapus nilai registri Security Descriptor yang terkait.

Grup ancaman menggunakan tugas terjadwal “tersembunyi” ini untuk mempertahankan akses ke perangkat yang diretas bahkan setelah reboot dengan membuat kembali koneksi yang terputus ke infrastruktur command-and-control (C2).

Sementara operator Hafnium dapat menghapus semua artefak di disk, termasuk semua kunci registri dan file XML yang ditambahkan ke folder sistem untuk menghapus semua jejak aktivitas jahat mereka, itu akan menghapus persistensi saat dimulai ulang.

Menghapus Security Descriptor untuk menyembunyikan tugas terjadwal (Microsoft)

Tugas “tersembunyi” hanya dapat ditemukan setelah pemeriksaan manual Windows Registry yang lebih dekat jika Anda mencari tugas terjadwal tanpa Nilai SD (deskriptor keamanan) di dalam Kunci Tugasnya.

Admin juga dapat mengaktifkan log Security.evtx dan Microsoft-Windows-TaskScheduler/Operational.evtx untuk memeriksa peristiwa penting yang terkait dengan tugas “tersembunyi” menggunakan malware Tarrask.

Microsoft juga merekomendasikan untuk mengaktifkan logging untuk ‘TaskOperational’ dalam log Microsoft-Windows-TaskScheduler/Operational Task Scheduler dan memantau koneksi keluar dari aset Tingkat 0 dan Tingkat 1 yang penting.

Sumber : Bleeping Computer

Microsoft Defender Antivirus sekarang secara otomatis memitigasi kerentanan Exchange Server

March 20, 2021 by Winnie the Pooh

Microsoft telah menerapkan alat mitigasi otomatis dalam Defender Antivirus untuk mengatasi kerentanan kritis di Exchange Server.

Pada 18 Maret, raksasa Redmond mengatakan perangkat lunak tersebut akan secara otomatis memitigasi CVE-2021-26855, kerentanan parah yang secara aktif dieksploitasi di alam liar.

Microsoft merilis perbaikan darurat untuk kelemahan keamanan pada 2 Maret dan memperingatkan bahwa kelompok ancaman yang disponsori negara bernama Hafnium secara aktif mengeksploitasi bug, dan sejak itu, puluhan ribu organisasi dicurigai telah diserang.

Setidaknya ada 10 grup advanced persistent threat (APT) lainnya telah memanfaatkan peluang pada patch yang lambat atau terfragmentasi.

Penerapan pembaruan intelijen keamanan terkini untuk Microsoft Defender Antivirus dan System Center Endpoint Protection berarti bahwa mitigasi akan diterapkan pada server Exchange yang rentan saat perangkat lunak diterapkan, tanpa masukan lebih lanjut dari pengguna.

Menurut perusahaan, Antivirus Pertahanan Microsoft akan secara otomatis mengidentifikasi jika server rentan dan menerapkan perbaikan mitigasi sekali per mesin.

Jika pembaruan otomatis tidak diaktifkan, disarankan agar pengguna menginstal pembaruan baru secara manual dan memastikan perangkat lunak mereka ditingkatkan ke setidaknya versi 1.333.747.0, atau yang lebih baru. Perlindungan cloud tidak diperlukan untuk menerima perbaikan mitigasi tetapi perusahaan merekomendasikan agar fitur ini diaktifkan sebagai praktik terbaik.

Sumber: ZDNet

Microsoft telah diperingatkan beberapa bulan yang lalu – sekarang, peretasan Hafnium telah berkembang menjadi sangat besar

March 9, 2021 by Winnie the Pooh Leave a Comment

Pada hari Jumat, jurnalis keamanan siber Brian Krebs dan Andy Greenberg melaporkan bahwa sebanyak 30.000 organisasi telah disusupi dalam peretasan server email yang belum pernah terjadi sebelumnya, diyakini berasal dari kelompok peretasan Cina yang disponsori negara yang dikenal sebagai Hafnium.

Krebs sekarang telah menyusun garis waktu dasar dari peretasan Exchange Server besar-besaran, dan dia mengatakan Microsoft telah mengonfirmasi bahwa pihaknya telah mengetahui kerentanan pada awal Januari.

Itu hampir dua bulan sebelum Microsoft mengeluarkan rangkaian tambalan pertama, di samping entri blog yang tidak menjelaskan cakupan atau skala serangan tersebut.

Sekarang, MIT Technology Review melaporkan bahwa Hafnium mungkin bukan satu-satunya ancaman, mengutip seorang analis keamanan siber yang mengklaim setidaknya ada lima kelompok peretas yang secara aktif mengeksploitasi kelemahan Exchange Server pada hari Sabtu. Pejabat pemerintah dilaporkan berebut untuk melakukan sesuatu, dengan seorang pejabat negara mengatakan kepada Cyberscoop bahwa itu “masalah besar”.

Pada titik ini, sudah jelas bahwa siapa pun yang memasang Server Microsoft Exchange lokal (2010, 2013, 2016, atau 2019) perlu menambal dan memindai, tetapi kita baru mulai memahami cakupan kerusakannya. Peretas dilaporkan memasang perangkat lunak perusak yang dapat membiarkan mereka kembali ke server itu lagi, dan kita belum tahu apa yang mungkin telah mereka ambil.

Selengkapnya: The Verge

Periksa apakah Anda rentan terhadap zero-day Microsoft Exchange Server menggunakan alat ini

March 8, 2021 by Winnie the Pooh

Tim Microsoft Exchange Server telah merilis skrip untuk admin IT untuk memeriksa apakah sistem mereka rentan terhadap bug zero-day yang baru-baru ini diungkapkan.

Sebagaimana dicatat dalam peringatan yang diterbitkan oleh Cybersecurity and Infrastructure Security Agency (CISA) AS pada hari Sabtu, tim Microsoft telah menerbitkan skrip di GitHub yang dapat memeriksa status keamanan server Exchange.

Skrip telah diperbarui untuk menyertakan indikator kompromi (IOC) yang terkait dengan empat kerentanan zero-day yang ditemukan di Microsoft Exchange Server.

Pada 2 Maret, raksasa teknologi itu memperingatkan tentang eksploitasi aktif zero-day oleh kelompok ancaman Cina yang disponsori negara bernama Hafnium. Tim Pertahanan Terkelola Mandiant FireEye juga telah melacak serangan yang sedang berlangsung terhadap organisasi AS yang memanfaatkan bug tersebut. Sejauh ini, korban termasuk entitas pemerintah daerah, universitas, dan pengecer.

Sumber: ZDNet

Microsoft mengatakan peretas Cina telah mengeksploitasi bug untuk menargetkan perusahaan AS

March 3, 2021 by Winnie the Pooh

Peretas pemerintah yang berbasis di Cina telah mengeksploitasi bug di perangkat lunak server email Microsoft untuk menargetkan organisasi AS, kata perusahaan itu.

Microsoft MSFT, -1,30% mengatakan bahwa kelompok yang disponsori negara “sangat terampil dan canggih” yang beroperasi dari Cina telah mencoba mencuri informasi dari sejumlah target Amerika, termasuk universitas, kontraktor pertahanan, firma hukum, dan peneliti penyakit menular.

Microsoft mengatakan telah merilis security upgrade untuk memperbaiki kerentanan perangkat lunak Exchange Server-nya, yang digunakan untuk layanan email dan kalender kantor, sebagian besar untuk organisasi besar yang memiliki server email in-person mereka sendiri.

Perusahaan itu mengatakan kelompok peretasan yang mereka sebut Hafnium mampu mengelabui server Exchange agar mengizinkannya mendapatkan akses. Para peretas kemudian menyamar sebagai seseorang yang seharusnya memiliki akses dan menciptakan cara untuk mengontrol server dari jarak jauh sehingga mereka dapat mencuri data dari jaringan organisasi.

Microsoft mengatakan grup tersebut berbasis di Cina tetapi beroperasi dari server pribadi virtual yang disewa di AS, yang membantunya menghindari deteksi.

Jika perusahaan Anda menggunakan server Exchange, segera terapkan security upgrade yang dirilis oleh Microsoft.

Selengkapnya: Market Watch | Microsoft Blog

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Hafnium

Cookies Settings