Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Kerentanan Oracle yang menjalankan kode berbahaya sedang aktif dieksploitasi

by

Penyerang menargetkan kerentanan Oracle WebLogic yang baru-baru ini ditambal. Kerentanan ini memungkinkan mereka mengeksekusi kode yang mereka inginkan, termasuk malware yang menjadikan server bagian dari botnet yang mencuri kata sandi dan informasi sensitif lainnya.

WebLogic adalah aplikasi enterprise Java yang mendukung berbagai database. Server WebLogic adalah hadiah yang didambakan oleh para peretas, yang sering menggunakannya untuk menambang cryptocurrency, memasang ransomware, atau sebagai jalan masuk untuk mengakses bagian lain dari jaringan perusahaan.

Dilacak sebagai CVE-2020-14882, ini adalah kerentanan kritis yang ditambal Oracle pada bulan Oktober tahun ini. Ini memungkinkan penyerang untuk mengeksekusi kode berbahaya melalui Internet dengan sedikit usaha atau keterampilan dan tanpa otentikasi. Kode eksploitasi tersedia untuk umum delapan hari setelah Oracle mengeluarkan tambalan.

Menurut Paul Kimayong, seorang peneliti di Juniper Networks, peretas secara aktif menggunakan lima variasi serangan berbeda untuk mengeksploitasi server yang masih rentan terhadap CVE-2020-14882.

Di antara variasinya adalah salah satu yang menginstal bot DarkIRC. Setelah terinfeksi, server menjadi bagian dari botnet yang dapat menginstal malware pilihannya, menambang cryptocurrency, mencuri kata sandi, dan melakukan serangan denial-of-service.

Varian exploit lainnya memasang payload lain seperti, Serangan Cobalt, Perlbot, Penafsir meteran, Mirai.

CVE-2020-14882 memengaruhi versi WebLogic 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Siapa pun yang menggunakan salah satu versi ini harus segera menginstal patch yang dikeluarkan Oracle pada bulan Oktober. Orang-orang juga harus menambal CVE-2020-14750, kerentanan terpisah namun terkait yang diperbaiki Oracle dalam pembaruan darurat dua minggu setelah menerbitkan tambalan untuk CVE-2020-14882.

Sumber: Ars Technica

Malware Gootkit hidup kembali bersama REvil ransomware

by

Setelah tidak muncul selama 1 tahun, Trojan pencuri informasi Gootkit telah hidup kembali bersama REvil Ransomware dalam kampanye baru yang menargetkan Jerman.

Trojan Gootkit adalah malware berbasis Javascript yang melakukan berbagai aktivitas berbahaya, termasuk akses jarak jauh, pengambilan keystroke, perekaman video, pencurian email, pencurian kata sandi, dan kemampuan untuk menyuntikkan skrip berbahaya untuk mencuri kredensial perbankan online.

Tahun lalu, pelaku ancaman Gootkit mengalami kebocoran data setelah membiarkan database MongoDB terbuka di Internet. Setelah pelanggaran ini, diyakini bahwa para aktor Gootkit telah menghentikan operasinya sampai mereka tiba-tiba hidup kembali awal bulan ini.

Minggu lalu, seorang peneliti keamanan yang dikenal sebagai The Analyst mengatakan kepada BleepingComputer bahwa malware Gootkit telah muncul lagi dalam serangan yang menargetkan Jerman.

Dalam kampanye baru ini, pelaku ancaman meretas situs WordPress dan memanfaatkan SEO poisoning untuk menampilkan posting forum palsu kepada pengunjung. Posting ini berpura-pura menjadi pertanyaan dan jawaban dengan tautan ke formulir atau unduhan palsu.

Saat pengguna mengklik link tersebut, mereka akan mendownload file ZIP yang berisi file JS yang dikaburkan yang akan menginstal malware Gootkit atau REvil ransomware.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Bleeping Computer

Malware Docker menjadi umum, pengembang perlu memperhatikan keamanan Docker dengan serius

by

Menjelang akhir tahun 2017, terjadi perubahan besar dalam dunia malware. Seiring teknologi berbasis cloud menjadi lebih populer, geng kejahatan siber juga mulai menargetkan sistem Docker dan Kubernetes.

Sebagian besar serangan ini mengikuti pola yang sangat sederhana di mana pelaku ancaman memindai sistem yang salah konfigurasi yang antarmuka adminnya terekspos secara online untuk mengambil alih server dan menyebarkan malware penambangan cryptocurrency.

Selama tiga tahun terakhir, serangan ini semakin intensif, dan strain malware baru serta aktor ancaman yang menargetkan Docker (dan Kubernetes) sekarang ditemukan secara teratur.

Namun terlepas dari kenyataan bahwa serangan malware di server Docker sekarang lebih banyak ditemukan, banyak pengembang web dan infrastruktur engineer belum mempelajari pelajaran mereka dan masih salah mengonfigurasi server Docker, membuat mereka rentan akan serangan.

Kesalahan paling umum dari kesalahan ini adalah membiarkan endpoint API administrasi jarak jauh Docker terbuka online tanpa otentikasi.

Strain malware terbaru ini ditemukan minggu lalu oleh firma keamanan China Qihoo 360. Dinamakan Blackrota, ini adalah trojan backdoor sederhana yang pada dasarnya adalah versi sederhana dari CarbonStrike beacon yang diimplementasikan dalam bahasa pemrograman Go.

Perusahaan, pengembang web, dan engineer yang menjalankan sistem Docker bagian dari sistem produksi disarankan untuk meninjau dokumentasi resmi Docker untuk memastikan mereka telah mengamankan kemampuan manajemen jarak jauh Docker dengan mekanisme otentikasi yang tepat, seperti sistem otentikasi berbasis sertifikat.

Sumber: ZDNet

Peretas menargetkan pengguna MacOS dengan malware yang telah diperbarui

by

Bentuk malware yang baru ditemukan menargetkan pengguna Apple MacOS dalam kampanye yang menurut para peneliti memiliki kaitan dengan operasi peretasan yang didukung negara.

Kampanye tersebut telah dirinci oleh analis keamanan siber di Trend Micro yang telah menautkannya ke OceanLotus – juga dikenal sebagai APT32 – sebuah grup peretasan yang diduga memiliki hubungan dengan pemerintah Vietnam.

Mereka menduga ini ada kaitannya dengan OceanLotus karena kesamaan dalam kode dan perilaku malware yang digunakan dalam kampanye sebelumnya oleh grup tersebut.

Backdoor MacOS memberi penyerang celah ke mesin yang disusupi, memungkinkan mereka untuk mengintip dan mencuri informasi rahasia dan dokumen bisnis yang sensitif.

Serangan dimulai dengan email phishing yang mencoba mendorong korban untuk menjalankan file Zip yang menyamar sebagai dokumen Word. File ini menghindari deteksi anti-virus dengan menggunakan karakter khusus jauh di dalam serangkaian folder Zip.

Untuk membantu menghindar dari malware ini dan kampanye malware lainnya, Trend Micro mengimbau pengguna untuk berhati-hati dalam mengklik tautan atau mengunduh lampiran dari email yang datang dari sumber yang mencurigakan atau tidak dikenal.

Organisasi juga disarankan untuk menerapkan tambalan keamanan dan pembaruan lainnya ke perangkat lunak dan sistem operasi sehingga malware tidak dapat memanfaatkan kerentanan yang telah diketahui.

Sumber: ZDNet

Malware Linux Stantinko sekarang berperan sebagai server web Apache

by

Stantinko, salah satu botnet malware tertua yang masih beroperasi saat ini, telah meluncurkan pembaruan untuk kelasnya dari malware Linux, memutakhirkan trojannya untuk menyamar sebagai proses server web Apache (httpd) yang sah untuk mempersulit deteksi pada host yang terinfeksi.

Peningkatan, yang ditemukan oleh perusahaan keamanan Intezer Labs, datang untuk mengonfirmasi bahwa meskipun ada periode tidak aktif sehubungan dengan perubahan kode, botnet Stantinko terus beroperasi bahkan hingga hari ini.

Botnet Stantinko pertama kali terdeteksi pada tahun 2012. Grup di balik malware ini mulai beroperasi dengan mendistribusikan trojan Stantinko sebagai bagian dari app bundle atau melalui aplikasi bajakan.

Hanya pengguna Windows yang menjadi target pada awalnya, namun pada 2017 firma keamanan Slovakia ESET melihat Stantinko juga menyebarkan versi khusus malware-nya pada sistem Linux.

Versi terakhir malware Linux Stantinko terlihat pada tahun 2017, dengan nomor versi 1.2. Tetapi dalam laporan yang dirilis pada hari Selasa dan dibagikan dengan ZDNet, Intezer Labs mengatakan bahwa setelah tiga tahun, mereka baru-baru ini menemukan versi baru malware Linux Stantinko, dengan nomor versi 2.17 – lompatan besar dari rilis sebelumnya yang diketahui.

Tim Intezer mencatat bahwa versi baru sebenarnya lebih ramping dan berisi lebih sedikit fitur daripada rilis sebelumnya, aneh, karena malware cenderung meningkat seiring berjalannya waktu.

Alasannya mungkin juga karena geng Stantinko berusaha mengurangi sidik jari malware terhadap solusi antivirus. Lebih sedikit baris kode berarti lebih sedikit perilaku berbahaya yang terdeteksi.

Selain itu, kelompok Stantinko tampaknya telah menempatkan primer pada stealth dalam rilis yang lebih baru ini karena mereka juga memodifikasi nama proses yang digunakan malware Linux, memilih menggunakan httpd, nama yang biasanya digunakan oleh server web Apache yang lebih terkenal.

Yang perlu diketahui oleh pemilik server Linux adalah bahwa meskipun Linux merupakan OS yang aman, malware sering kali bersembunyi di dalam sistem karena kesalahan konfigurasi. Dalam kasus Stantinko, botnet ini mengejar administrator server yang menggunakan kata sandi lemah untuk database dan CMS mereka.

Sumber: ZDNet

TA416 APT Kembali Dengan Varian Baru PlugX Malware

by

Aktor TA416 Advanced Persistent Threat (APT) telah kembali. Setelah sebulan tidak aktif, grup tersebut terlihat meluncurkan serangan spear-phishing dengan varian Golang yang belum pernah dilihat sebelumnya dari malware loader PlugX-nya.

TA416, yang juga dikenal sebagai “Mustang Panda” dan “RedDelta”, terlihat dalam kampanye baru-baru ini yang menargetkan entitas yang terkait dengan hubungan diplomatik antara Vatikan dan Partai Komunis China, serta entitas di Myanmar (semua ini adalah kampanye yang dilaporkan sebelumnya).

Dalam analisis lebih lanjut dari serangan ini, para peneliti menemukan grup tersebut telah memperbarui perangkatnya – khususnya, memberikan varian malware PlugX facelift. Remote access tool (RAT) PlugX sebelumnya telah digunakan dalam serangan yang ditujukan pada lembaga pemerintah dan memungkinkan pengguna jarak jauh untuk melakukan pencurian data atau mengendalikan sistem yang terpengaruh tanpa izin atau otorisasi. Itu dapat menyalin, memindahkan, mengganti nama, mengeksekusi dan menghapus file; log penekanan tombol; sidik jari sistem yang terinfeksi; dan lainnya.

Setelah penyelidikan lebih dekat, peneliti mengidentifikasi dua arsip RAR yang berfungsi sebagai dropper malware PlugX.

Para peneliti mengatakan, vektor pengiriman awal untuk arsip RAR ini tidak dapat diidentifikasi, “namun, secara historis TA416 telah diamati menggunakan URL Google Drive dan Dropbox dalam email phishing yang mengirimkan arsip yang berisi malware PlugX dan komponen terkait,” kata mereka.

Malware Loader ini diidentifikasi sebagai Golang binary; Peneliti mengatakan mereka sebelumnya tidak mengamati jenis file ini digunakan oleh TA416. Meskipun jenis file dari loader PlugX berubah, fungsinya sebagian besar tetap sama, kata para peneliti.

Sumber: Threat Post

Malware membuat toko online palsu di atas situs WordPress yang diretas

by

Geng kejahatan siber baru terlihat mengambil alih situs WordPress yang rentan untuk memasang toko e-commerce tersembunyi dengan tujuan membajak peringkat dan reputasi search engine situs asli serta mempromosikan penipuan online.

Serangan tersebut ditemukan awal bulan ini dengan menargetkan honeypot WordPress yang disiapkan dan dikelola oleh Larry Cashdollar, seorang peneliti keamanan untuk tim keamanan Akamai.

Para penyerang memanfaatkan serangan brute-force untuk mendapatkan akses ke akun admin situs, setelah itu mereka menimpa file indeks utama situs WordPress dan menambahkan kode berbahaya.

Sementara kode itu sangat disamarkan, Cashdollar mengatakan peran utama malware adalah bertindak sebagai proxy dan mengarahkan semua lalu lintas masuk ke server command-and-control (C&C) jarak jauh yang dikelola oleh peretas.

Di server inilah seluruh “logika bisnis” serangan terjadi. Menurut Cashdollar, tipikal serangan adalah sebagai berikut:

  1. Pengguna mengunjungi situs WordPress yang diretas.
  2. Situs WordPress yang diretas mengalihkan permintaan pengguna untuk melihat situs tersebut ke server C&C malware.
  3. Jika pengguna memenuhi kriteria tertentu, server C&C memberi tahu situs tersebut untuk membalas dengan file HTML berisi toko online yang menjajakan berbagai macam objek duniawi.
  4. Situs yang diretas menanggapi permintaan pengguna dengan toko online palsu alih-alih situs asli yang ingin dilihat pengguna.

Cashdollar mengatakan bahwa selama peretas memiliki akses ke honeypot nya, para penyerang menampung lebih dari 7.000 toko e-commerce yang mereka maksudkan untuk melayani pengunjung yang datang.

Selain itu, para peneliti Akamai mengatakan para peretas juga membuat peta situs XML untuk situs WordPress yang diretas yang berisi entri untuk toko online palsu bersama dengan halaman asli situs tersebut. Ini berakibat meracuni kata kuncinya dengan entri yang tidak terkait dan palsu yang menurunkan peringkat halaman hasil mesin pencari (SERP) situs web.

Sumber: ZDNet

Worm Lama Tapi Teknik Obfuscation Baru

by

Kemarin saya menemukan skrip JavaSvript yang menarik yang dikirim melalui kampanye phishing biasa (SHA256: 70c0b9d1c88f082bad6ae01fef653da6266d0693b24e08dcb04156a629dd6f81) dan memiliki skor VT 17/61.

Penyamaran skrip sederhana namun efektif: kode berbahaya didekodekan dan diteruskan ke fungsi eval () untuk dieksekusi. Payload adalah string karakter Unicode yang diubah satu per satu melalui fungsi wrwrwrwererw (). Karakter pertama adalah ‘huruf kapital cyrillic ef’ yang memiliki kode desimal 1060. Karakter yang dikembalikan akan menjadi ‘/’ (kode ASCII 47). Anda tidak perlu mendekode ini secara manual, cukup ganti eval () dengan echo () dan Anda akan mendapatkan skrip yang didekodekan. Mari kita lihat. Skrip baru juga dikaburkan tetapi tetap mudah dibaca.
Worm ini telah digunakan berkali-kali dalam berbagai kampanye dan tampaknya masih aktif sampai sekarang. Server C2 adalah hxxp: // dhanaolaipallets [.] Com: 7974 /.

sumber : SANS.EDU