Rootkit

Peretas Lazarus menyalahgunakan bug driver Dell menggunakan rootkit FudModule baru

October 5, 2022 by Eevee

Peretas ‘Lazarus’ memasang rootkit Windows yang menyalahgunakan driver perangkat keras Dell dalam serangan Bring Your Own Vulnerable Driver. Kampanye tersebut ditargetkan untuk pakar kedirgantaraan di Belanda dan jurnalis politik di Belgia.

Menurut ESET, yang menerbitkan laporan kampanye hari ini, tujuan utamanya adalah spionase dan pencurian data.

Target berbasis UE dari kampanye ini dikirimi email tawaran pekerjaan palsu, kali ini untuk Amazon, trik rekayasa sosial yang umum dan umum digunakan oleh para peretas pada tahun 2022.

Membuka dokumen ini akan mengunduh template jarak jauh dari alamat hardcode, diikuti oleh infeksi yang melibatkan pemuat malware, dropper, backdoor khusus, dan banyak lagi.

ESET melaporkan bahwa di antara alat yang digunakan dalam kampanye ini, yang paling menarik adalah rootkit FudModule baru yang menyalahgunakan teknik BYOVD (Bring Your Own Vulnerable Driver) untuk mengeksploitasi kerentanan pada driver perangkat keras Dell untuk pertama kalinya.

Serangan Bring Your Own Vulnerable Driver (BYOVD) adalah saat pelaku ancaman memuat driver yang sah dan ditandatangani di Windows yang juga mengandung kerentanan yang diketahui. Saat driver kernel ditandatangani, Windows akan mengizinkan driver untuk diinstal di sistem operasi.

Namun, pelaku ancaman sekarang dapat mengeksploitasi kerentanan driver untuk meluncurkan perintah dengan hak tingkat kernel.

Dalam serangan ini, Lazarus mengeksploitasi kerentanan CVE-2021-21551 di driver perangkat keras Dell (“dbutil_2_3.sys”), yang sesuai dengan serangkaian lima kelemahan yang tetap dapat dieksploitasi selama 12 tahun sebelum vendor komputer akhirnya mendorong pembaruan keamanan untuk dia.

Driver dbutil_2_3.sys yang ditandatangani Dell digunakan dalam serangan
Sumber: BleepingComputer

Pada bulan Desember 2021, para peneliti di Rapid 7 memperingatkan tentang driver khusus ini sebagai kandidat yang sangat baik untuk serangan BYOVD karena perbaikan Dell yang tidak memadai, yang memungkinkan eksekusi kode kernel bahkan pada versi terbaru yang ditandatangani.

Tampaknya Lazarus sudah sangat menyadari potensi penyalahgunaan ini dan mengeksploitasi driver Dell jauh sebelum analis keamanan mengeluarkan peringatan publik mereka.

ESET menambahkan bahwa grup tersebut menggunakan backdoor HTTP(S) khusus merek dagangnya ‘BLINDINGCAN,’ yang pertama kali ditemukan oleh intelijen AS pada Agustus 2020 dan dikaitkan dengan Lazarus oleh Kaspersky pada Oktober 2021.

Trojan akses jarak jauh (RAT) ‘BLINDINGCAN’ yang diambil sampelnya oleh ESET tampaknya berjalan dengan dukungan signifikan dari dasbor sisi server tidak berdokumen yang melakukan validasi parameter.

Backdoor mendukung serangkaian 25 perintah yang ekstensif, mencakup tindakan file, eksekusi perintah, konfigurasi komunikasi C2, pengambilan tangkapan layar, pembuatan dan penghentian proses, dan eksfiltrasi info sistem.

Alat lain yang digunakan dalam kampanye yang disajikan adalah FudModule Rootkit, pengunggah HTTP(S) yang digunakan untuk eksfiltrasi data yang aman, dan berbagai aplikasi sumber terbuka yang di-trojan seperti wolfSSL dan FingerText.

Trojanizing alat open-source adalah sesuatu yang Lazarus terus lakukan, karena laporan Microsoft kemarin menyebutkan teknik ini digunakan dengan Putty, KiTTY, TightVNC, Sumatra PDF Reader, dan penginstal perangkat lunak muPDF/Subliminal Recording.

Sumber:

Peretas China Terlihat Menggunakan Implan Firmware UEFI Baru dalam Serangan Bertarget

January 23, 2022 by Søren

Kaspersky, yang memberi kode nama rootkit MoonBounce, mengkarakterisasi malware sebagai “implan firmware UEFI paling canggih yang ditemukan di alam liar hingga saat ini,” menambahkan “tujuan implan adalah untuk memfasilitasi penyebaran malware mode-pengguna yang melakukan eksekusi muatan lebih lanjut. diunduh dari internet.”

MoonBounce mengkhawatirkan karena menargetkan flash SPI, penyimpanan non-volatil di luar hard drive.

Dengan menempatkan malware bootkit yang sangat persisten di dalam penyimpanan flash yang disolder ke motherboard komputer, mekanisme ini tidak memungkinkan untuk dihapus melalui penggantian hard drive dan bahkan tahan terhadap penginstalan ulang sistem operasi.

Perusahaan keamanan siber Rusia mengatakan telah mengidentifikasi keberadaan rootkit firmware dalam satu insiden tahun lalu, yang menunjukkan sifat serangan yang sangat ditargetkan. Meskipun demikian, mekanisme pasti bagaimana firmware UEFI terinfeksi masih belum jelas.

“Rantai infeksi itu sendiri tidak meninggalkan jejak apa pun pada hard drive, karena komponennya hanya beroperasi di memori, sehingga memfasilitasi serangan tanpa file dengan jejak kecil,” catat para peneliti, menambahkan bahwa ia menemukan implan non-UEFI lainnya di target. jaringan berkomunikasi dengan infrastruktur yang sama yang menampung muatan pementasan

Untuk mengatasi modifikasi tingkat firmware seperti itu, disarankan untuk memperbarui firmware UEFI secara teratur serta mengaktifkan perlindungan seperti Boot Guard, Secure boot, dan Trust Platform Modules (TPM).

Perusahaan keamanan siber Binarly, dalam analisis independen, mencatat bahwa komponen UEFI MoonBounce dibuat untuk perangkat keras target yang terkait dengan sistem MSI mulai tahun 2014, dan bahwa malware dapat dikirimkan ke mesin yang disusupi baik melalui akses fisik atau melalui modifikasi perangkat lunak yang dihasilkan. dari kurangnya perlindungan SPI yang memadai.

“MoonBounce menandai evolusi tertentu dalam kelompok ancaman ini dengan menghadirkan aliran serangan yang lebih rumit dibandingkan dengan pendahulunya dan tingkat kompetensi teknis yang lebih tinggi oleh pembuatnya, yang menunjukkan pemahaman menyeluruh tentang detail halus yang terlibat dalam proses boot UEFI, ” kata para peneliti.

Selengkapnya: The Hacker News

Rootkit Purple Fox ditemukan di penginstal Telegram jahat

January 7, 2022 by Eevee

Tim keamanan siber Minerva Labs, yang bekerja dengan MalwareHunterTeam, mengatakan bahwa Purple Fox sedang disamarkan melalui file bernama “Telegram Desktop.exe.” yang mereka percaya bahwa mereka menginstal layanan perpesanan populer, sebaliknya, menjadi sarat dengan malware dan proses infeksi membuatnya lebih sulit untuk dideteksi.

Pertama kali ditemukan pada tahun 2018, Purple Fox telah menyebar melalui berbagai cara, termasuk email phishing, tautan berbahaya, dan kit eksploitasi. Namun, dalam beberapa tahun terakhir, metode distribusi telah diperluas untuk mencakup kompromi layanan yang rentan terhadap internet, layanan UKM yang terbuka, dan penginstal palsu.

Pemasang Telegram berbahaya telah dikembangkan sebagai skrip AutoIt yang dikompilasi. Setelah dieksekusi, penginstal Telegram yang sah akan dihapus tetapi tidak pernah digunakan bersama dengan pengunduh berbahaya bernama TextInputh.exe.

Serangan tersebut kemudian dipisahkan menjadi beberapa file kecil, sebuah teknik yang menurut Minerva memungkinkan pelaku ancaman untuk tetap berada di bawah radar dan sebagian besar file “memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox. .”

TextInputh.exe membuat folder baru dan menghubungkan ke server command-and-control (C2) malware. Dua file baru kemudian diunduh dan dieksekusi, yang membongkar arsip .RAR dan file yang digunakan untuk memuat reflektif berbahaya.DLL.

Kunci registri dibuat untuk mengaktifkan kegigihan pada mesin yang terinfeksi, dan lima file selanjutnya dimasukkan ke folder ProgramData untuk menjalankan fungsi, termasuk mematikan berbagai proses antivirus sebelum Purple Fox akhirnya disebarkan.

Trojan Purple Fox hadir dalam varian Windows 32-bit dan 64-bit. Pada bulan Maret tahun lalu, Guardicore Labs menemukan kemampuan worm baru telah diintegrasikan ke dalam malware, dan ribuan server yang rentan telah dibajak untuk menampung muatan Purple Fox.

Pada bulan Oktober, Trend Micro menemukan backdoor .net baru, dijuluki FoxSocket, yang diyakini sebagai tambahan baru untuk kemampuan malware yang ada.

Mengingat bahwa malware sekarang berisi rootkit, fungsionalitas worm, dan telah ditingkatkan dengan pintu belakang yang lebih kuat, dimasukkannya proses infeksi yang lebih tersembunyi berarti bahwa peneliti keamanan siber kemungkinan akan terus mengawasi perkembangan malware ini di masa depan.

Sumber : ZDnet

Pelaku ancaman menggunakan rootkit HP iLO untuk menghapus server

January 4, 2022 by Eevee

Sebuah perusahaan keamanan siber Iran mengatakan telah menemukan rootkit pertama dari jenisnya yang bersembunyi di dalam firmware perangkat HP iLO dan yang telah digunakan dalam serangan dunia nyata untuk menghapus server organisasi Iran.

Dinamakan iLOBleed, rootkit ditemukan oleh perusahaan keamanan Teheran Amnpardaz dan dirinci dalam sebuah laporan yang dirilis pada hari Selasa.

iLOBleed menargetkan HP iLO (Integrated Lights-Out), Perangkat iLO dilengkapi dengan unit prosesor, ruang penyimpanan, RAM, dan kartu jaringannya sendiri serta dijalankan secara terpisah dari sistem operasi lokal mana pun.

Peran utama mereka adalah menyediakan cara bagi administrator sistem untuk terhubung ke sistem jarak jauh, bahkan ketika sistem ini dimatikan, dan melakukan operasi pemeliharaan, seperti memperbarui firmware, menginstal pembaruan keamanan, atau menginstal ulang sistem yang rusak.

Amnpardaz mengatakan bahwa sejak tahun 2020, pihaknya menyelidiki beberapa insiden di mana aktor ancaman misterius mengkompromikan target dan bersembunyi di dalam iLO sebagai cara untuk bertahan dari penginstalan ulang OS dan mempertahankan kegigihan di dalam jaringan korban.

Untuk menghindari deteksi, para peneliti mengatakan penyerang menyamarkan rootkit iLOBleed sebagai modul untuk firmware iLO itu sendiri, dan penyerang juga membuat UI pembaruan palsu untuk ditunjukkan kepada administrator sistem ketika mereka mencoba memperbarui firmware iLO.

Bahkan jika rootkit memberikan kontrol penuh atas host yang terinfeksi, penyerang tampaknya hanya menggunakannya untuk menghapus sistem yang terinfeksi sebagai bagian dari semacam operasi penghapusan data.

“Ketika tim analisis keamanan kami menemukan malware, penyerang telah memutuskan untuk menghapus disk server dan sepenuhnya menyembunyikan jejak mereka,” tim Amnpardaz menjelaskan.

“Menariknya, penyerang tidak puas dengan penghancuran satu kali dan mengatur malware untuk berulang kali melakukan penghancuran data secara berkala. Mungkin mereka berpikir bahwa jika administrator sistem menginstal ulang sistem operasi, seluruh hard drive akan hancur lagi setelah beberapa saat. Jelas, mereka tidak mengira malware mereka akan ditemukan.”

Baik Amnpardaz dan anggota komunitas keamanan siber telah menggambarkan rootkit iLO sebagai karya tercanggih dan kemungkinan besar merupakan karya aktor ancaman yang sangat maju. Aktor itu sendiri tidak diidentifikasi dalam laporan Amnpardaz atau dalam percakapan online apa pun.

Sementara laporan Amnpardaz mengungkap keberadaan malware ini, masih ada pertanyaan tentang bagaimana awalnya digunakan. Teori yang berlaku saat ini mencakup skenario di mana penyerang memasuki jaringan korban melalui saluran lain dan kemudian menggunakan iLOBleed sebagai pintu belakang (mekanisme ketekunan), baik dengan mengeksploitasi kerentanan dalam firmware iLO lama atau dengan memperluas akses dari host yang terinfeksi ke kartu iLO-nya, jika ada .

Penemuan iLOBleed merupakan terobosan dan pencapaian, terutama karena hanya ada sedikit alat dan produk keamanan yang mampu mendeteksi aktivitas malware di tingkat iLO—komponen yang beroperasi lebih dalam daripada OS itu sendiri, biarkan produk keamanan tunggal.

Selengkapnya : The Record Media

Driver FiveSys Yang Ditandatangani Microsoft WHQL Sebenarnya Adalah Malware Yang Menyamar

October 24, 2021 by Søren

Peneliti keamanan di Bitdefender menemukan bahwa malware baru ini, yang merupakan rootkit, sebenarnya ditandatangani secara digital oleh Microsoft sendiri.

Driver jahat FiveSys membawa sertifikasi Windows Hardware Quality Labs (WHQL) yang disediakan oleh Microsoft setelah verifikasi cermat terhadap paket driver yang dikirim oleh berbagai vendor mitranya melalui Program Kompatibilitas Perangkat Keras Windows (WHCP).

Telah diamati bahwa penyebaran FiveSys sejauh ini terbatas hanya di China yang mungkin menunjukkan bahwa pelaku ancaman terutama tertarik pada bagian wilayah tersebut.

Dalam hal karakteristik kunci lainnya, whitepaper terkait juga menyebutkan bahwa rootkit memblokir modifikasi registri dan juga mencoba memblokir akses pesaingnya ke sistem yang terinfeksi.

Bitdefender mengatakan bahwa setelah memperingatkan Microsoft tentang rootkit berbahaya ini, perusahaan Redmond telah menghapus tanda tangannya dari FiveSys.

Menariknya, ini bukan pertama kalinya hal seperti itu terjadi dalam ingatan baru-baru ini. Malware serupa yang disebut “Netfilter” juga divalidasi oleh Microsoft pada bulan Juni kemungkinan dengan cara yang sama.

Selengkapnya: Neowin

Peretas China Menggunakan Rootkit Baru untuk Memata-matai Pengguna Windows 10 yang Ditargetkan

October 2, 2021 by Søren

Aktor ancaman siber berbahasa China yang sebelumnya tidak dikenal telah dikaitkan dengan operasi yang sudah berlangsung lama yang ditujukan untuk target Asia Tenggara sejauh Juli 2020 untuk menyebarkan rootkit mode kernel pada sistem Windows yang disusupi.

Serangan yang dilakukan oleh kelompok peretas, yang dijuluki GhostEmperor oleh Kaspersky, juga dikatakan telah menggunakan “kerangka kerja malware multi-tahap yang canggih” yang memungkinkan untuk memberikan ketekunan dan kendali jarak jauh atas host yang ditargetkan.

Perusahaan keamanan siber Rusia menyebut rootkit Demodex, dengan infeksi yang dilaporkan di beberapa entitas terkenal di Malaysia, Thailand, Vietnam, dan Indonesia, selain outlier yang berlokasi di Mesir, Ethiopia, dan Afghanistan.

“[Demodex] digunakan untuk menyembunyikan artefak malware mode pengguna dari penyelidik dan solusi keamanan, sambil menunjukkan skema pemuatan tidak terdokumentasi yang menarik yang melibatkan komponen mode kernel dari proyek sumber terbuka bernama Cheat Engine untuk melewati mekanisme Windows Driver Signature Enforcement,” kata peneliti Kaspersky.

Infeksi GhostEmperor telah ditemukan untuk memanfaatkan beberapa rute intrusi yang berujung pada eksekusi malware di memori, kepala di antara mereka mengeksploitasi kerentanan yang diketahui di server yang menghadap publik seperti Apache, Window IIS, Oracle, dan Microsoft Exchange — termasuk eksploitasi ProxyLogon yang terungkap pada Maret 2021 — untuk mendapatkan pijakan awal dan poros lateral ke bagian lain dari jaringan korban, bahkan pada mesin yang menjalankan versi terbaru dari sistem operasi Windows 10.

Selengkapnya: The Hackers News

Bug Baru di Microsoft Windows Dapat Membiarkan Peretas Menginstal Rootkit dengan Mudah

September 24, 2021 by Winnie the Pooh

Peneliti keamanan telah mengungkapkan kelemahan yang belum ditambal di Microsoft Windows Platform Binary Table (WPBT) yang memengaruhi semua perangkat berbasis Windows sejak Windows 8 yang berpotensi dieksploitasi untuk menginstal rootkit dan membahayakan integritas perangkat.

“Kelemahan ini membuat setiap sistem Windows rentan terhadap serangan yang dibuat dengan mudah yang memasang tabel khusus vendor palsu,” kata peneliti dari Eclypsium dalam sebuah laporan yang diterbitkan pada hari Senin. “Tabel-tabel ini dapat dieksploitasi oleh penyerang dengan akses fisik langsung, dengan akses jarak jauh, atau melalui rantai pasokan pabrikan. Lebih penting lagi, kelemahan tingkat motherboard ini dapat meniadakan inisiatif seperti Secured-core karena penggunaan ACPI [Advanced Configuration and Power Interface] dan WPBT di mana-mana.”

WPBT, diperkenalkan dengan Windows 8 pada tahun 2012, adalah fitur yang memungkinkan “boot firmware untuk menyediakan Windows dengan platform binary yang dapat dijalankan oleh sistem operasi.”

Dengan kata lain, ini memungkinkan produsen PC untuk menunjuk ke executable portabel yang ditandatangani atau driver khusus vendor lainnya yang datang sebagai bagian dari image ROM firmware UEFI sedemikian rupa sehingga dapat dimuat ke dalam memori fisik selama inisialisasi Windows dan sebelum menjalankan kode sistem operasi apa pun.

Tujuan utama WPBT adalah untuk memungkinkan fitur penting seperti perangkat lunak anti-theft tetap ada bahkan dalam skenario di mana sistem operasi telah dimodifikasi, diformat, atau diinstal ulang. Tetapi mengingat kemampuan fungsionalitas untuk membuat perangkat lunak semacam itu “menempel pada perangkat tanpa batas waktu,” Microsoft telah memperingatkan potensi risiko keamanan yang dapat timbul dari penyalahgunaan WPBT, termasuk kemungkinan menyebarkan rootkit pada mesin Windows.

Kerentanan yang ditemukan oleh perusahaan keamanan enterprise firmware berakar pada kenyataan bahwa mekanisme WPBT dapat menerima binary yang ditandatangani dengan sertifikat yang dicabut atau kedaluwarsa untuk sepenuhnya melewati pemeriksaan integritas, sehingga memungkinkan penyerang untuk menandatangani binary berbahaya dengan dengan sertifikat kedaluwarsa yang sudah tersedia dan menjalankan kode berbahaya dengan hak kernel saat perangkat melakukan booting.

Menanggapi temuan tersebut, Microsoft telah merekomendasikan penggunaan kebijakan Windows Defender Application Control (WDAC) untuk mengontrol secara ketat binari apa yang dapat diizinkan untuk berjalan di perangkat.

Selengkapnya: The Hacker News

MosaicRegressor: Rootkit UEFI kedua ditemukan di alam liar

October 6, 2020 by Winnie the Pooh

Rootkit UEFI kedua yang digunakan di alam liar ditemukan oleh peneliti keamanan selama investigasi seputar serangan dari tahun 2019 terhadap dua organisasi non-pemerintah (LSM).

Firmware UEFI (Unified Extensible Firmware Interface) memungkinkan malware yang sangat persisten mengingat bahwa itu diinstal dalam penyimpanan flash SPI yang disolder ke motherboard komputer sehingga tidak mungkin untuk dihilangkan melalui instalasi ulang OS atau penggantian hard drive.

Bootkit UEFI, dijuluki MosaicRegressor oleh peneliti Kaspersky Mark Lechtik dan Igor Kuznetsov yang menemukannya, adalah kerangka kerja malware modular dan multi-stage yang digunakan oleh peretas berbahasa Mandarin dalam operasi pencurian data dan spionase.

Hanya satu contoh lain dari bootkit UEFI yang digunakan di alam liar yang diketahui, yaitu LoJax, rootkit yang ditemukan oleh ESET pada tahun 2018.

LoJax disuntikkan oleh kelompok peretas APT28 berbahasa Rusia dalam perangkat lunak anti-theft LoJack yang sah dalam bentuk modul UEFI yang ditambal.

MosaicRegressor mempunyai beberapa downloader dan, terkadang, beberapa pemuat perantara yang tujuan akhirnya adalah mengunduh dan mengeksekusi muatan berbahaya pada mesin target.

Laporan lengkap Kaspersky (termasuk detail teknis) tentang bootkit MosaicRegressor UEFI multi-stage dan modular dapat ditemukan di sini (PDF).

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Rootkit

Cookies Settings