Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Peretas dapat menggunakan GitHub Codespaces untuk menghosting dan mengirimkan malware

by

Dalam laporan baru oleh Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi untuk bertindak sebagai server web untuk mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Saat meneruskan port di VM Codespace, fitur GitHub akan menghasilkan URL untuk mengakses aplikasi yang berjalan di port tersebut, yang dapat dikonfigurasi sebagai pribadi atau publik.

Port forward pribadi memerlukan autentikasi dalam bentuk token atau cookie untuk mengakses URL. Namun, port publik dapat diakses oleh siapa saja yang mengetahui URL tanpa memerlukan otentikasi.

Port visibility setting on Codespaces

Fitur GitHub ini memberi pengembang fleksibilitas dalam demonstrasi kode, tetapi Trend Micro mengatakan penyerang saat ini dapat dengan mudah menyalahgunakannya untuk menghosting malware di platform.

Analis mengatakan bahwa sementara HTTP digunakan secara default dalam sistem penerusan port Codespaces, pengembang dapat mengaturnya ke HTTPS, meningkatkan ilusi keamanan untuk URL.

Karena GitHub adalah ruang tepercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Codespaces abuse attack diagram (Trend Micro)

Melanjutkan serangan
Analis Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien.

Sebuah “wadah dev” di GitHub Codespaces adalah wadah pra-konfigurasi yang berisi semua dependensi dan alat yang diperlukan untuk proyek tertentu. Pengembang dapat menggunakannya untuk penerapan cepat, membagikannya dengan orang lain, atau terhubung melalui VCS.

Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Selanjutnya, visibilitas port disetel ke publik, yang membuat server web dengan direktori terbuka yang menyajikan file berbahaya ke target.

BleepingComputer dapat mereplikasi pembuatan server web “jahat” menggunakan Codespaces dalam waktu kurang dari 10 menit, tanpa pengalaman dengan fitur tersebut.

Menjalankan server web pada GitHub Codespaces VM

Kebijakan GitHub adalah ruang kode yang tidak aktif akan dihapus secara otomatis setelah 30 hari, sehingga penyerang dapat menggunakan URL yang sama selama sebulan penuh.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform “bebas penggunaan” yang juga dipercaya oleh produk keamanan.

sumber : bleepingcomputer

Paket PyPi ‘Lolip0p’ Berbahaya Menginstal Malware Pencuri Info

by

Pelaku ancaman telah mengunggah tiga paket berbahaya ke repositori PyPI (Python Package Index), membawa kode untuk menjatuhkan malware pencuri informasi pada sistem pengembang.

Seluruh paket jahat yang ditemukan Fortinet diunggah oleh penulis bernama ‘Lolip0p’ antara 7 dan 12 Januari 2023. Nama mereka adalah ‘colorslib’, ‘httpslib’, dan ‘libhttps’. Ketiganya telah dilaporkan dan dihapus dari PyPI.

Popularitas PyPi menjadikannya menarik bagi pelaku ancaman yang menargetkan pengembang atau proyek mereka. Apalagi PyPI tidak memiliki sumber daya untuk memeriksa semua unggahan paket.

Kampanye Baru
Trio yang ditemukan Fortinet menampilkan deskripsi lengkap yang membantu mengelabui pengembang agar percaya bahwa itu adalah sumber daya asli.

Deskripsi paket berbahaya di PyPI (Fortinet)

Nama paket tidak meniru proyek lain, hanya berusaha meyakinkan bahwa mereka datang dengan kode yang andal dan bebas risiko.

Menurut layanan penghitungan stat paket PyPI ‘pepy.tech,’ tiga entri berbahaya memiliki jumlah unduhan yang tampak kecil, namun dampak potensial dari infeksi ini sebagai bagian dari rantai pasokan membuatnya signifikan.

Tingkat deteksi untuk ketiga executable yang digunakan dalam serangan ini cukup rendah, berkisar antara 4,5% dan 13,5%, memungkinkan file berbahaya untuk menghindari deteksi dari beberapa agen keamanan yang mungkin berjalan di host korban.

Hasil deteksi untuk ‘update.exe’ di VirusTotal (Fortinet)

Pengembang perangkat lunak harus memperhatikan pemilihan paket untuk diunduh, termasuk memeriksa pembuat paket dan meninjau kode jika ada niat mencurigakan atau jahat demi memastikan keamanan dan keselamatan proyek mereka.

Selengkapnya: BleepingComputer

Backdoor Baru Dibuat Menggunakan Bocoran Malware Sarang CIA yang Ditemukan di Alam Liar

by

Pelaku ancaman tak dikenal telah menyebarkan backdoor baru yang meminjam fitur-fiturnya dari suite malware multi-platform Hive Central Intelligence Agency (CIA), yang kode sumbernya dirilis oleh WikiLeaks pada November 2017.

Hal baru bagi Qihoo Netlab 360 dalam menangkap varian kit serangan CIA Hive di alam liar. Mereka memberinya nama xdr33 berdasarkan sertifikat sisi Bot yang disematkan CN=xdr33.

xdr33 disebarkan dengan mengeksploitasi kerentanan keamanan N-day yang tidak ditentukan di peralatan F5. Berkomunikasi dengan server perintah-dan-kontrol (C2) menggunakan SSL dengan sertifikat Kaspersky palsu.

Backdoor dimaksudkan untuk mengumpulkan informasi sensitif dan bertindak sebagai landasan peluncuran untuk intrusi berikutnya. Ini meningkatkan Hive dengan menambahkan instruksi dan fungsionalitas C2 baru, di antara perubahan implementasi lainnya.

Malware menggabungkan modul pemicu yang dirancang untuk menguping lalu lintas jaringan untuk paket pemicu tertentu untuk mengekstrak server C2 yang disebutkan dalam muatan paket IP, membuat koneksi, dan menunggu eksekusi perintah yang dikirim oleh C2.

Selengkapnya: The Hacker News

Implan Linux Canggih Ditemukan Mengompromikan Perangkat Keamanan Jaringan Fortinet

by

Minggu ini, perusahaan merilis detail lebih lanjut tentang implan malware canggih yang disebarkan oleh penyerang melalui celah tersebut.

Kerentanan, dilacak sebagai CVE-2022-42475, berada dalam fungsionalitas SSL-VPN FortiOS dan dapat dieksploitasi oleh penyerang jarak jauh tanpa autentikasi.

Fortinet memberi peringkat kerentanan 9,3 (Kritis) pada skala CVSS dan merilis pembaruan untuk varian utama FortiOS, FortiOS-6K7K, dan FortiProxy, produk gerbang web aman perusahaan.

Analis tidak dapat memulihkan semua file dari alat yang disusupi yang mereka analisis, sehingga rantai serangan penuh tidak diketahui. Namun, mereka menemukan file bernama wxd.conf yang isinya mirip dengan file konfigurasi untuk reverse proxy open-source yang dapat digunakan untuk mengekspos sistem di belakang NAT ke internet.

Analisis penangkapan paket jaringan dari alat menyarankan malware menghubungkan dua server eksternal yang dikendalikan penyerang untuk mengunduh muatan tambahan dan perintah untuk dieksekusi.

Fortinet juga telah merilis tanda tangan IPS (sistem pencegahan intrusi) untuk mendeteksi upaya eksploit, serta aturan deteksi untuk implan yang dikenal di mesin antivirusnya.

sumber : paulponraj

Malware IcedID Menyerang Lagi: Domain Direktori Aktif Tersusupi dalam Waktu Kurang dari 24 Jam

by

Serangan malware IcedID baru baru ini memungkinkan pelaku ancaman untuk mengkompromikan domain Active Directory dari target yang tidak disebutkan namanya kurang dari 24jam setelah mendapatkan akses awal.

IcedID, juga dikenal dengan nama BokBOt memulai hidupnya sebagai trojan perbankan pada a=tahu 2017 sebelum berkemban menjadi dropper untuk malware lainnya, bergabung dengen Emotet, TrickBot, Qakbot, Bumblebee, dan Raspberry Robin.

Serangan yang melibatkan pengiriman IcedID telah memanfaatkan berbagai metode, terutama setelah keputusan Microsoft untuk memblokir makro dari Office yang diunduh

Malware kemudian membangun kegigihan pada host melalui tugas terjadwal dan berkomunikasi dengan server jarak jauh untuk mengunduh muatan tambahan, termasuk Cobalt Strike Beacon untuk kegiatan pengintaian lanjutan.

Itu juga melakukan gerakan lateral di seluruh jaringan dan mengeksekusi Cobalt Strike Beacon yang sama di semua workstation tersebut, dan kemudian mulai menginstal agen Atera, alat administrasi jarak jauh yang sah, sebagai mekanisme akses jarak jauh yang berlebihan.

Cobalt Strike Beacon selanjutnya digunakan sebagai saluran untuk mengunduh alat C# yang dijuluki Rubeus untuk pencurian kredensial, yang pada akhirnya memungkinkan pelaku ancaman untuk berpindah secara lateral ke Server Windows dengan hak admin domain.

Izin yang ditingkatkan kemudian dipersenjatai untuk melakukan serangan DCSync, memungkinkan musuh untuk mensimulasikan perilaku pengontrol domain (DC) dan mengambil kredensial dari pengontrol domain lainnya.

Temuan ini muncul saat para peneliti dari Team Cymru menjelaskan lebih lanjut tentang protokol BackConnect (BC) yang digunakan oleh IcedID untuk memberikan fungsionalitas tambahan pasca kompromi, termasuk modul VNC yang menyediakan saluran akses jarak jauh.

Perkembangan tersebut juga mengikuti laporan dari Proofpoint pada November 2022 bahwa kebangkitan aktivitas Emotet telah dikaitkan dengan distribusi versi baru IcedID.

sumber : thehackernews

Kinsing Crypto Malware Memukul Kluster Kubernetes melalui PostgreSQL yang Salah Konfigurasi

by

Pelaku ancaman di balik operasi cryptojacking Kinsing telah terlihat mengeksploitasi server PostgreSQL yang terekspos dan salah konfigurasi untuk mendapatkan akses awal ke lingkungan Kubernetes.

Teknik vektor akses awal kedua memerlukan penggunaan gambar yang rentan, Sunders Bruskin, peneliti keamanan di Microsoft Defender untuk Cloud, mengatakan dalam sebuah laporan minggu lalu

Kinsing memiliki sejarah panjang dalam penargetan lingkungan kemas, sering kali memanfaatkan port API daemon Docker terbuka yang salah konfigurasi serta menyalahgunakan eksploit yang baru diungkapkan untuk menghentikan perangkat lunak penambangan mata uang kripto.

Pelaku ancaman, di masa lalu, juga diketahui menggunakan rootkit untuk menyembunyikan keberadaannya. Sekarang menurut Microsoft, kesalahan konfigurasi di server PostgreSQL telah dikooptasi oleh aktor Kinsing untuk mendapatkan pijakan awal, dengan perusahaan mengamati “sejumlah besar cluster” yang terinfeksi dengan cara ini.

Kesalahan konfigurasi terkait dengan pengaturan autentikasi kepercayaan, yang dapat disalahgunakan untuk terhubung ke server tanda autentikasi apa pun dan mencapai eksekusi kode jika opsi diatur untuk menerima koneksi dari alamat IP mana pun.

Vektor serangan alternatif menargetkan server dengan versi PHPUnit, Liferay, WebLogic, dan WordPress yang rentan yang rentan terhadap eksekusi kode jarak jauh untuk menjalankan muatan berbahaya.

Terlebih lagi, “kampanye luas” baru-baru ini melibatkan penyerang yang memindai port WebLogic default terbuka 7001, dan jika ditemukan, menjalankan perintah shell untuk meluncurkan malware.

sumber : thehackernews

Pengguna Italia Diperingatkan Tentang Serangan Malware yang Menargetkan Informasi Sensitif

by

Kampanye malware baru telah diamati menargetkan Italia dengan email phishing yang dirancang untuk menyebarkan pencuri informasi pada sistem Windows yang disusupi.

Urutan infeksi multi-tahap dimulai dengan email phishing bertema faktur yang berisi tautan yang, ketika diklik, mengunduh file arsip ZIP yang dilindungi kata sandi, yang menyimpan dua file: file pintasan (.LNK) dan kumpulan (.BAT) mengajukan.

Terlepas dari file mana yang diluncurkan, rantai serangan tetap sama, karena membuka file pintasan mengambil skrip batch yang sama yang dirancanag untuk menginstal muatan pencuri informasi dari repositori GitHub. Ini dicapai dengan memanfaatkan biner PowerShell yang sah yang juga diambil dari Github

Setelah diinstal, malware berbasis C# mengumpulkan metadata sistem, dan informasi dari lusinan browser web (misalnya, cookie, bookmark, kartu kredit, unduhan, dan kredensial), serta nbeberapa dompet mata uang kripto, yang semuanya dikirim ke seorang aktor. domain-terkendali.

Untuk mengurangi serangan tersebut, organisasi disarankan untuk menerapkan “kontrol keamanan yang ketat dan visibilitas berlapis serta solusi keamanan untuk mengidentifikasi dan mendeteksi malware.”

sumber : thehackernews

Mac Diserang Oleh Malware Windows

by

Dridex adalah malware pencuri informasi yang dikaitkan dengan kelompok penjahat dunia maya Evil Corp yang digunakan untuk mengambil data sensitif dari mesin yang terinfeksi, tetapi juga dapat menjalankan modul berbahaya. Di masa lalu, ini telah digunakan untuk menargetkan PC Windows melalui spreadsheet Microsoft Excel berkemampuan makro yang didistribusikan melalui email phishing.

Dridex, juga disebut Bugat dan Cridex, adalah pencuri informasi yang dikenal mengambil data sensitif dari mesin yang terinfeksi dan mengirim serta menjalankan modul berbahaya.

Cara tetap aman dari malware Mac
Bagaimana agar tetap aman dari malware MacDalam hal ini, malware itu sendiri tidak dapat menginfeksi Mac yang ditargetkan karena terkandung dalam file Windows yang dapat dieksekusi. Namun, jika pengguna mengunduh file Mach-O dan memiliki file mereka sendiri yang ditimpa dengan yang berbahaya, lalu mencoba membagikannya secara online, tanpa disadari mereka dapat menginfeksi keluarga, teman, dan rekan kerja mereka dengan malware.

Meskipun Apple menyertakan pemindai malware bawaan yang disebut Gatekeeper dan perangkat lunak antivirus XProtect miliknya sendiri dengan setiap Mac yang dijualnya, Anda mungkin ingin mempertimbangkan untuk mengambil salah satu solusi perangkat lunak antivirus Mac terbaik untuk perangkat Anda untuk perlindungan tambahan.

selangkapnya : tomsguide