Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Linux

Linux

Kali Linux 2022.4 menambahkan 6 alat baru, gambar Azure, dan pembaruan desktop

by

Keamanan Ofensif telah merilis Kali Linux 2022.4, versi keempat dan terakhir tahun 2022, dengan gambar Azure dan QEMU baru, enam alat baru, dan pengalaman desktop yang ditingkatkan.

Kali Linux adalah distribusi yang dirancang untuk peretas etis untuk melakukan pengujian penetrasi, audit keamanan, dan penelitian keamanan siber terhadap jaringan.

Dengan rilis kali ini, Tim Kali Linux memperkenalkan berbagai fitur baru, antara lain:

  • Distro Kali Linux kembali ke Microsoft Azure
  • 6 tools baru
  • Memperkenalkan Kali NetHunter Pro
  • Update baru untuk Gnome dan KDE Plasma
  • Enhanced ARM support

Dengan rilis ini, Kali Linux menggunakan Linux Kernel 5.18.5. Namun, rilis Raspberry Pi menggunakan versi 5.15.

Gambar Kali Linux untuk Azure, QEMU
Kali Linux sekarang tersedia di Azure Marketplace, memungkinkan Anda untuk menerapkan gambar dan melakukan pengujian penetrasi dari cloud. Tim Kali juga sekarang menawarkan citra pra-bangun untuk QEMU.

Enam tools baru Kali Linux 2022.4
Di bawah ini adalah enam alat baru yang ditambahkan di Kali 2022.4:

  • bloodhound.py – Ingestor berbasis Python untuk BloodHound
  • certipy – Alat untuk pencacahan dan penyalahgunaan Layanan Sertifikat Direktori Aktif
  • hak5-wifi-coconut – Driver ruang pengguna untuk USB Wi-Fi NIC dan Hak5 Wi-Fi Coconut
  • ldapdomaindump – Dumper informasi Direktori Aktif melalui LDAP
  • peass-ng – Alat eskalasi hak istimewa untuk Windows dan Linux/Unix* dan MacOS.
  • Rizin-Cutter -platform rekayasa balik yang didukung oleh rizin

Pembaruan desktop GNOME dan KDE Plasma
Rilis ini menghadirkan banyak pembaruan desktop, termasuk GNOME 43 dengan tema GTK3 baru, ditunjukkan di bawah ini.

Tema Baru GNOME 43 Kali Linux
Sumber: Kali
Source: Kali

Update Kali NetHunter
“Peluncuran Kali NetHunter Pro adalah awal dari babak baru untuk Kali Linux dan NetHunter, instalasi logam Kali Linux dengan lingkungan desktop Phosh, dioptimalkan untuk perangkat seluler.”

“Pertama-tama kami menyediakan gambar kartu SD untuk PinePhone dan PinePhone Pro untuk boot ganda bersama OS utama. Segera kami akan merilis versi alternatif dengan Plasma Mobile serta penginstal sehingga Anda dapat menginstal Kali NetHunter Pro ke memori flash internal ,” membaca Kali Linux 2022.4 pernyataan.

Cara mendapatkan Kali Linux 2022.4
Untuk mulai menggunakan Kali Linux 2022.4, Anda dapat memutakhirkan instalasi yang ada, memilih platform, atau langsung mengunduh image ISO untuk instalasi baru dan distribusi langsung.
Jika Anda menjalankan Kali di Subsistem Windows untuk Linux, pastikan untuk meningkatkan ke WSL2 untuk pengalaman yang lebih baik, termasuk dukungan untuk aplikasi grafis.

Anda dapat memeriksa versi WSL yang digunakan Kali dengan perintah ‘wsl -l -v’ di prompt perintah Windows.

Setelah Anda selesai memutakhirkan, Anda dapat memeriksa apakah pemutakhiran berhasil dengan menggunakan perintah berikut:

grep VERSION /etc/os-release

sumber : bleeping computer

OpenSSL Merilis Pembaruan Keamanan untuk Kerentanan Tingkat Tinggi

by

Kemarin kerentanan OpenSSL ditandai sebagai patch tingkat kritis pertama sejak bug Heartbleed. Namun saat perbaikan dirilis, perbaikan keamanan berubah menjadi “Tinggi” untuk buffer overflow, yang memengaruhi semua instalasi OpenSSL 3.x tetapi tidak mungkin mengarah pada eksekusi kode jarak jauh.

Kerentanan spesifik tersebut adalah (CVE-2022-37786 dan CVE-2022-3602) sebagian besar tidak diketahui hingga hari ini, tetapi analis dan bisnis di bidang keamanan web mengisyaratkan mungkin ada masalah penting dan kesulitan pemeliharaan.

Beberapa distribusi Linux, termasuk Fedora, menahan rilis hingga patch tersedia. Akamai mencatat sebelum patch bahwa setengah dari jaringan yang dipantau memiliki setidaknya satu mesin dengan instance OpenSSL 3.x yang rentan, dan di antara jaringan tersebut, antara 0,2 dan 33 persen mesin rentan.

Namun kerentanan spesifik—keadaan terbatas, luapan sisi klien yang dimitigasi oleh tata letak stack pada sebagian besar platform modern kini ditambal, dan diberi peringkat sebagai “Tinggi”. Dan dengan OpenSSL 1.1.1 masih dalam fase dukungan jangka panjang, OpenSSL 3.x hampir tidak tersebar luas.

Pakar malware Marcus Hutchins menunjuk ke komit OpenSSL di GitHub yang merinci masalah kode: “memperbaiki dua buffer overflows dalam fungsi decoding kode kecil.” Alamat email berbahaya, yang diverifikasi dalam sertifikat X.509, dapat melebihi jumlah byte pada stack, yang mengakibatkan crash atau kemungkinan eksekusi kode jarak jauh, bergantung pada platform dan konfigurasi.

Tetapi kerentanan ini sebagian besar memengaruhi klien, bukan server, jadi jenis pengaturan ulang keamanan Internet (dan absurditas) yang sama dari Heartbleed kemungkinan tidak akan mengikuti. VPN yang menggunakan OpenSSL 3.x dapat terpengaruh, misalnya, dan bahasa seperti Node.js. Pakar keamanan siber Kevin Beaumont menunjukkan bahwa perlindungan stack overflow di sebagian besar konfigurasi default distribusi Linux seharusnya mencegah eksekusi kode.

Menurut tim keamanan OpenSSL, organisasi menguji dan memberikan umpan balik. Pada beberapa distribusi Linux, overflow 4-byte mungkin terjadi dengan satu serangan menimpa buffer yang berdekatan yang belum digunakan, sehingga tidak dapat merusak sistem atau mengeksekusi kode. Kerentanan lainnya hanya memungkinkan penyerang untuk mengatur panjang overflow, bukan konten.

Jadi sementara crash masih mungkin terjadi, dan beberapa stack dapat diatur dengan cara yang memungkinkan eksekusi kode jarak jauh. Namun, pengguna dari implementasi OpenSSL 3.x harus melakukan patch sesegera mungkin. Dan semua orang harus mencari pembaruan perangkat lunak dan OS yang dapat menambal masalah ini di berbagai subsistem.

Layanan pemantauan Datadog, dalam ringkasan masalah yang baik, mencatat bahwa tim peneliti keamanannya dapat membuat crash penerapan Windows menggunakan versi OpenSSL 3.x sebagai bukti konsep. Dan sementara penyebaran Linux tidak mungkin dieksploitasi, “eksploitasi yang dibuat untuk penyebaran Linux” masih bisa muncul.

National Cyber ​​Security Centrum of the Netherlands (NCSL-NL) memiliki daftar perangkat lunak yang rentan terhadap eksploitasi OpenSSL 3.x. Banyak distribusi Linux populer, platform virtualisasi, dan alat lainnya terdaftar sebagai rentan atau sedang diselidiki.

Meskipun terjadi pengurangan risiko pada kerentanan OpenSSl tetapi patch masih diperlukan karena kerentanan masih tersedia

Link patch: OpenSSL Update
Sumber: Arstechnica

Peretas Menyalahgunakan Alat Linux Asli untuk Meluncurkan Serangan Pada Sistem Linux

by

Di berbagai organisasi di seluruh dunia, adopsi kontainer telah menunjukkan tanda-tanda menjadi arus utama selama beberapa tahun terakhir.

Sejak proyek orkestrasi container seperti Kubernetes dan alat lain yang tersedia di cloud telah dikembangkan dalam beberapa tahun terakhir, gelombang transformasi telah terjadi dalam cara organisasi beroperasi.

Penerapan arsitektur berbasis layanan mikro daripada arsitektur monolitik adalah fitur yang semakin populer dalam pengembangan sistem terdistribusi.

Namun, sebagai konsekuensi dari perubahan ini, ada juga peningkatan permukaan serangan, yang merupakan masalah. Khususnya melalui kesalahan konfigurasi keamanan dan kerentanan yang diperkenalkan selama penerapan yang mengarah pada ancaman dan kompromi keamanan.

Karena itu, peretas meluncurkan serangan di lingkungan Linux dengan mengeksploitasi alat Linux asli.

Biasanya ada rantai eksploitasi standar yang diikuti oleh penyerang ketika menyerang sistem berbasis Linux. Langkah pertama dalam mendapatkan akses ke lingkungan adalah bagi penyerang untuk mengeksploitasi kerentanan.

Menurut laporan Trend Micro, untuk mendapatkan akses ke area lebih lanjut dari sistem yang disusupi, penyerang dapat mengikuti jalur yang berbeda:

  • Lingkungan organisasi saat ini dijelaskan dengan menyebutkan konteksnya.
  • Eksfiltrasi data dari lingkungan yang berisi informasi sensitif.
  • Menonaktifkan aplikasi dan menyebabkan serangan penolakan layanan.
  • Mengunduh penambang dan menambang cryptocurrency.
  • Bereksperimen dengan teknik lain, seperti : Eskalasi Hak Istimewa, Gerakan lateral, Kegigihan, Akses Kredensial

Pelaku ancaman menggunakan berbagai alat yang disertakan dengan distribusi Linux untuk mencapai tujuan ini. Alat tersebut adalah : curl, wget, chmod, chattr,ssh, base64, chroot, crontab, ps, pkill.

Decoding string yang dikodekan dalam format base64 dilakukan dengan alat base64, yang merupakan utilitas Linux. Untuk menghindari deteksi, penyerang sering menggunakan pengkodean base64 untuk mengaburkan muatan dan perintah mereka.

Perintah bash shell pengguna dicatat dalam file riwayat .bash mereka, yang terletak di direktori home mereka. Seorang penyerang memilih untuk menggunakan meja kerja Visual One, chroot, dan utilitas base64 untuk mengeksekusi kode berbahaya.

Tidak ada keraguan bahwa penyerang menggunakan alat dan utilitas yang melekat pada OS, sehingga pembela harus memikirkan kontrol apa yang ingin mereka miliki selama fase serangan yang berbeda sehingga mereka dapat tetap berada di depan penyerang.

Untuk mengurangi ancaman tersebut anda dapat melakukan :

  • Pastikan untuk menggunakan gambar distroless.
  • Cloud One Workload Security – Kontrol Aplikasi.
  • Pastikan perangkat lunak yang tidak dikenal diblokir hingga izin eksplisit diberikan.
  • Hingga diblokir secara eksplisit, izinkan perangkat lunak yang tidak dikenal berjalan di sistem Anda.

    • Sumber: GBHacker

    Malware tersembunyi baru yang menargetkan Linux

    by

    Malware Linux baru yang dikenal sebagai Shikitega telah ditemukan menginfeksi komputer dan perangkat IoT dengan muatan tambahan.

    Malware ini mengeksploitasi kerentanan untuk meningkatkan hak istimewanya, menambahkan persistensi pada host melalui crontab, dan akhirnya meluncurkan penambang cryptocurrency pada perangkat yang terinfeksi.

    Shikitega berhasil menghindari deteksi anti-virus menggunakan encoder polimorfik yang membuat deteksi statis berbasis tanda tangan menjadi tidak mungkin.

    Para peneliti di AT&T mengatakan malware menggunakan rantai infeksi multi-langkah di mana setiap lapisan hanya mengirimkan beberapa ratus byte, mengaktifkan modul sederhana dan kemudian pindah ke yang berikutnya.

    Infeksi dimulai dengan file ELF 370 byte, yang merupakan penetes yang berisi kode shell yang disandikan.

    File ELF yang memulai rantai infeksi (AT&T)

    Pengkodean dilakukan menggunakan enkoder umpan balik aditif XOR polimorfik ‘Shikata Ga Nai,’ yang sebelumnya dianalisis oleh Mandiant.

    “Dengan menggunakan encoder, malware berjalan melalui beberapa loop decode, di mana satu loop mendecode lapisan berikutnya hingga payload shellcode terakhir didekodekan dan dieksekusi,” lanjut laporan tersebut.

    Loop dekripsi Shikata Ga Nai (AT&T)

    Setelah dekripsi selesai, shellcode dieksekusi untuk menghubungi command and control server (C2) malware dan menerima shellcode (perintah) tambahan yang disimpan dan dijalankan langsung dari memori.

    Salah satu dari perintah ini mengunduh dan menjalankan ‘Mettle,’ muatan Metasploit Meterpreter kecil dan portabel yang memberi penyerang lebih jauh kendali jarak jauh dan opsi eksekusi kode pada host.

    Mettle mengambil file ELF yang lebih kecil, yang mengeksploitasi CVE-2021-4034 (alias PwnKit) dan CVE-2021-3493 untuk meningkatkan hak istimewa dan mengunduh payload tahap akhir, penambang cryptocurrency, sebagai root.

    Kegigihan untuk penambang crypto dicapai dengan mengunduh lima skrip shell yang menambahkan empat cronjobs, dua untuk pengguna root dan dua untuk pengguna saat ini.

    Lima skrip shell dan fungsinya (AT&T)

    Crontab adalah mekanisme persistensi yang efektif, sehingga semua file yang diunduh dihapus untuk mengurangi kemungkinan malware ditemukan.

    Penambang kripto adalah XMRig versi 6.17.0, berfokus pada penambangan Monero yang berfokus pada anonimitas dan sulit dilacak.

    Ikhtisar rantai infeksi Shikitega (AT&T)

    Untuk lebih mengurangi kemungkinan meningkatkan alarm pada produk keamanan jaringan, aktor ancaman di belakang Shikitega menggunakan layanan hosting cloud yang sah untuk meng-host infrastruktur komando dan kontrol mereka.

    Tim AT&T melaporkan peningkatan tajam dalam malware Linux tahun ini, menyarankan admin sistem untuk menerapkan pembaruan keamanan yang tersedia, menggunakan EDR di semua endpoint, dan membuat cadangan rutin untuk data penting.

    Sumber : Bleeping Computer

    Peretas Cina Mengalihkan Aplikasi Obrolan MiMi untuk Menargetkan Pengguna Windows, Linux, macOS

    by

    Sepasang laporan dari perusahaan keamanan siber SEKOIA dan Trend Micro menyoroti kampanye baru yang dilakukan oleh aktor ancaman China bernama Lucky Mouse yang melibatkan pemanfaatan versi trojan dari aplikasi perpesanan lintas platform ke sistem pintu belakang.

    Rantai infeksi memanfaatkan aplikasi obrolan yang disebut MiMi, dengan file penginstalnya dikompromikan untuk mengunduh dan menginstal sampel HyperBro untuk sistem operasi Windows dan artefak rshell untuk Linux dan macOS.

    Sebanyak 13 entitas berbeda yang berlokasi di Taiwan dan Filipina telah menerima serangan, delapan di antaranya terkena rshell. Korban pertama rshell dilaporkan pada pertengahan Juli 2021.

    Lucky Mouse, juga disebut APT27, Bronze Union, Utusan Panda, dan Iron Tiger, diketahui aktif sejak 2013 dan memiliki sejarah mendapatkan akses ke jaringan yang ditargetkan dalam mengejar tujuan pengumpulan intelijen politik dan militer yang selaras dengan China.

    Aktor ancaman persisten (APT) tingkat lanjut juga mahir dalam mengekstrak informasi bernilai tinggi menggunakan berbagai macam implan khusus seperti SysUpdate, HyperBro, dan PlugX.

    Perkembangan terbaru sangat signifikan, paling tidak karena menandai upaya pengenalan aktor ancaman untuk menargetkan macOS bersama Windows dan Linux.

    Kampanye ini memiliki semua keunggulan serangan rantai pasokan di mana server backend yang menghosting penginstal aplikasi MiMi dikendalikan oleh Lucky Mouse, sehingga memungkinkan untuk men-tweak aplikasi untuk mengambil backdoors dari server jarak jauh.

    Ini dibuktikan dengan fakta bahwa macOS versi 2.3.0 aplikasi telah dirusak untuk memasukkan kode JavaScript berbahaya pada 26 Mei 2022. Meskipun ini mungkin merupakan varian macOS pertama yang disusupi, versi 2.2.0 dan 2.2.1 dibuat untuk Windows telah ditemukan untuk memasukkan tambahan serupa pada 23 November 2021.

    rshell, pada bagiannya, adalah pintu belakang standar yang dilengkapi dengan semua lonceng dan peluit biasa, memungkinkan eksekusi perintah arbitrer yang diterima dari server command-and-control (C2) dan mengirimkan hasil eksekusi kembali ke server.

    Tidak segera jelas apakah MiMi adalah program obrolan yang sah, atau apakah itu “dirancang atau digunakan kembali sebagai alat pengawasan,” meskipun aplikasi tersebut telah digunakan oleh aktor berbahasa Cina lainnya yang dijuluki Earth Berberoka (alias GamblingPuppet) yang ditujukan untuk situs perjudian online. – sekali lagi menunjukkan pembagian alat yang lazim di antara grup APT Cina.

    Koneksi operasi ke Lucky Mouse berasal dari tautan ke infrastruktur yang sebelumnya diidentifikasi seperti yang digunakan oleh perangkat intrusi China-nexus dan penyebaran HyperBro, pintu belakang yang secara eksklusif digunakan oleh kelompok peretas.

    Seperti yang ditunjukkan SEKOIA, ini bukan pertama kalinya musuh menggunakan aplikasi perpesanan sebagai titik awal dalam serangannya. Pada akhir 2020, ESET mengungkapkan bahwa perangkat lunak obrolan populer bernama Able Desktop disalahgunakan untuk mengirimkan HyperBro, PlugX, dan trojan akses jarak jauh bernama Tmanger yang menargetkan Mongolia.

    Sumber: The Hackernews

    CISA memperingatkan kelemahan Windows dan UnRAR yang dieksploitasi di alam liar

    by

    Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan dua kelemahan ke katalog Kerentanan yang Diketahui telah Dieksploitasi, berdasarkan bukti eksploitasi aktif.

    Kelemahan tersebut adalah :

    Bug Windows DogWalk
    Dilacak sebagai CVE-2022-34713, merupakan kelemahan keamanan di MSDT memungkinkan penyerang untuk menempatkan executable berbahaya ke dalam folder Startup Windows.

    Masalah ini awalnya dilaporkan ke Microsoft oleh peneliti Imre Rad pada Januari 2020 tetapi laporannya salah diklasifikasikan karena tidak menggambarkan risiko keamanan dan diabaikan begitu saja.

    Masalah tersebut kembali menjadi perhatian publik tahun ini oleh peneliti keamanan j00sean, yang merangkum apa yang dapat dicapai penyerang dengan mengeksploitasinya dan memberikan bukti video:


    sumber : j00sean twitter

    Eksploitasi yang berhasil membutuhkan interaksi pengguna, hambatan yang mudah dilampaui melalui rekayasa sosial, terutama dalam serangan email dan berbasis web, Microsoft mengatakan dalam sebuah nasihat hari ini:

    Dalam skenario serangan email, penyerang dapat mengeksploitasi kerentanan dengan mengirimkan file yang dibuat khusus kepada pengguna dan meyakinkan pengguna untuk membuka file tersebut.

    Dalam skenario serangan berbasis web, penyerang dapat meng-host situs web (atau memanfaatkan situs web yang disusupi yang menerima atau menghosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan.

    Patch tidak resmi ada sejak awal Juni dari layanan micropatch 0patch, untuk sebagian besar versi Windows yang terpengaruh (Windows 7/10/11 dan Server 2008 hingga 2022).

    Microsoft membahas CVE-2022-34713 hari ini sebagai bagian dari pembaruan keamanan Agustus 2022 untuk Windows. Perusahaan mencatat bahwa masalah tersebut telah dieksploitasi dalam serangan.

    UnRAR bug dieksploitasi
    Kerentanan kedua yang ditambahkan ke Katalog Kerentanan Tereksploitasi yang Diketahui CISA dilacak sebagai CVE-2022-30333 dan merupakan bug traversal jalur di utilitas UnRAR untuk sistem Linux dan Unix.

    Penyerang dapat memanfaatkannya untuk menanam file berbahaya pada sistem target dengan mengekstraknya ke lokasi yang berubah-ubah selama operasi pembongkaran.

    Masalah keamanan diungkapkan oleh perusahaan Swiss SonarSource pada akhir Juni dalam sebuah laporan yang menjelaskan bagaimana hal itu dapat digunakan untuk eksekusi kode jarak jauh untuk mengkompromikan server email Zimbra tanpa otentikasi.

    Kode eksploitasi telah ditambahkan ke perangkat lunak pengujian penetrasi Metasploit awal bulan ini.

    Sumber: Bleeping Computer

    Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

    by

    Malware botnet IoT baru yang dijuluki RapperBot telah diamati berkembang pesat kemampuannya sejak pertama kali ditemukan pada pertengahan Juni 2022.

    Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

    Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

    Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

    Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

    Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys”, yang memungkinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi pribadi yang sesuai tanpa harus memberikan kata sandi.

    “Ini menghadirkan ancaman ke server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

    “Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

    Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

    Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

    Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

    Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

    Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

    Sumber: The Hacker News

    GwisinLocker ransomware secara eksklusif menargetkan Korea Selatan

    by

    Para peneliti memperingatkan ransomware baru yang disebut GwisinLocker yang mampu mengenkripsi server ESXi Windows dan Linux. Ransomware menargetkan perusahaan perawatan kesehatan, industri, dan farmasi Korea Selatan, namanya berasal dari nama penulis ‘Gwisin’ (hantu dalam bahasa Korea).

    Ransomware didistribusikan melalui serangan yang ditargetkan terhadap organisasi tertentu.

    Para ahli juga melaporkan bahwa nama-nama entitas Korea Selatan, seperti polisi Korea, Badan Intelijen Nasional, dan KISA, tercantum dalam catatan tebusan.

    Aktor ancaman Gwisin memukul perusahaan Korea pada hari libur dan dini hari menurut media lokal.

    Rantai serangan pada sistem Windows memanfaatkan penginstal MSI dan memerlukan nilai khusus sebagai argumen untuk menjalankan file DLL yang disertakan dalam MSI.

    “Ini mirip dengan Magniber karena beroperasi dalam bentuk penginstal MSI. Namun tidak seperti Magniber yang menargetkan individu acak, Gwisin tidak melakukan perilaku jahat sendiri, membutuhkan nilai khusus untuk argumen eksekusi. Nilai tersebut digunakan sebagai informasi kunci untuk menjalankan file DLL yang disertakan dalam MSI.”

    “Dengan demikian, file itu sendiri tidak melakukan aktivitas ransomware pada produk keamanan dari berbagai lingkungan sandbox, sehingga sulit untuk mendeteksi Gwisin. DLL internal ransomware beroperasi dengan disuntikkan ke dalam proses Windows normal. Prosesnya berbeda untuk setiap perusahaan yang terinfeksi.”

    Ransomware GwisinLocker dapat beroperasi dalam mode aman, pertama-tama menyalin dirinya sendiri ke jalur ProgramData tertentu dan kemudian terdaftar sebagai layanan sebelum memaksa sistem reboot.

    Sumber Ahnlab

    Peneliti dari Reversinglabs menganalisis versi Linux dari ransomware, mereka menunjukkan bahwa itu adalah malware canggih dengan fitur yang dirancang khusus untuk mengelola host Linux dan menargetkan mesin virtual VMWare ESXI. GwisinLocker menggabungkan enkripsi kunci simetris AES dengan hashing SHA256, yang menghasilkan kunci unik untuk setiap file.

    Para korban varian GwisinLocker Linux diharuskan masuk ke portal yang dioperasikan oleh grup untuk menghubungi para penjahat.

    “Analisis dan pelaporan publik dari kampanye GwisinLocker yang lebih besar menunjukkan bahwa ransomware ada di tangan aktor ancaman canggih yang mendapatkan akses ke dan kontrol atas lingkungan target sebelum penyebaran ransomware. Itu termasuk mengidentifikasi dan mencuri data sensitif untuk digunakan dalam apa yang disebut kampanye “pemerasan ganda”. menyimpulkan laporan yang diterbitkan oleh Reversinglabs.

    “Rincian dalam contoh catatan tebusan kelompok menunjukkan keakraban dengan bahasa Korea serta pemerintah Korea Selatan dan penegak hukum. Hal ini menimbulkan spekulasi bahwa Gwisin mungkin adalah kelompok ancaman persisten lanjutan (APT) yang terkait dengan Korea Utara”

    Sumber : Security Affairs