Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for server Microsoft Exchange

server Microsoft Exchange

Backdoor ‘SessionManager’ Baru Menargetkan Server Microsoft IIS di Alam Liar

by

Malware yang baru ditemukan telah digunakan di alam liar setidaknya sejak Maret 2021 ke server Microsoft Exchange pintu belakang milik berbagai entitas di seluruh dunia, dengan infeksi yang masih ada di 20 organisasi pada Juni 2022.

Dijuluki SessionManager, alat jahat menyamar sebagai modul untuk Layanan Informasi Internet (IIS), perangkat lunak server web untuk sistem Windows, setelah mengeksploitasi salah satu kelemahan ProxyLogon dalam server Exchange.

Target termasuk 24 LSM, pemerintah, militer, dan organisasi industri yang berbeda yang mencakup Afrika, Amerika Selatan, Asia, Eropa, Rusia, dan Timur Tengah. Total 34 server telah disusupi oleh varian SessionManager hingga saat ini.

Ini jauh dari pertama kalinya teknik ini diamati dalam serangan dunia nyata. Penggunaan modul IIS nakal sebagai sarana untuk mendistribusikan implan tersembunyi memiliki gema dalam pencuri kredensial Outlook yang disebut Owowa yang terungkap pada Desember 2021.

“Menjatuhkan modul IIS sebagai pintu belakang memungkinkan pelaku ancaman untuk mempertahankan akses yang persisten, tahan pembaruan, dan relatif tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan; baik itu untuk mengumpulkan email, memperbarui akses jahat lebih lanjut, atau secara sembunyi-sembunyi mengelola server yang disusupi yang dapat dimanfaatkan sebagai infrastruktur berbahaya,” kata peneliti Kaspersky, Pierre Delcher.

ProxyLogon, sejak pengungkapannya pada Maret 2021, telah menarik perhatian berulang kali dari beberapa pelaku ancaman dengan kru Gelsemium mengeksploitasi kelemahan untuk menjatuhkan SessionManager, sebuah pintu belakang yang dikodekan dalam C++ dan direkayasa untuk memproses HTTP permintaan dikirim ke server.

“Modul jahat seperti itu biasanya mengharapkan permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya,” Delcher dijelaskan.

Dikatakan sebagai “pintu belakang akses awal persisten yang ringan,” SessionManager hadir dengan kemampuan untuk membaca, menulis, dan menghapus file arbitrer; mengeksekusi binari dari server; dan membangun komunikasi dengan titik akhir lain dalam jaringan.

Malware ini selanjutnya bertindak sebagai saluran rahasia untuk melakukan pengintaian, mengumpulkan kata sandi dalam memori, dan mengirimkan alat tambahan seperti Mimikatz serta utilitas dump memori dari Avast.

Temuan ini muncul saat Badan Keamanan Siber dan Infrastruktur AS (CISA) mendesak lembaga pemerintah dan entitas sektor swasta yang menggunakan platform Exchange untuk beralih dari metode Otentikasi Dasar lama ke alternatif Otentikasi Modern sebelum dihentikan pada 1 Oktober 2022.

Sumber: The Hacker News

Server Microsoft Exchange di Seluruh Dunia Di-backdoor dengan Malware Baru

by Leave a Comment

Penyerang menggunakan malware yang baru ditemukan untuk mem-backdoor server Microsoft Exchange milik pemerintah dan organisasi militer dari Eropa, Timur Tengah, Asia, dan Afrika.

Malware, yang dijuluki SessionManager oleh peneliti keamanan di Kaspersky, yang pertama kali terlihat pada awal 2022 adalah modul kode asli berbahaya untuk perangkat lunak server web Internet Information Services (IIS) Microsoft.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” Kaspersky mengungkapkan pada hari Kamis.

“Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

Kemampuan SessionManager mencakup, di antara fitur-fitur lainnya:

  • menjatuhkan dan mengelola file arbitrer di server yang disusupi
  • eksekusi perintah jarak jauh pada perangkat pintu belakang
  • menghubungkan ke titik akhir dalam jaringan lokal korban dan memanipulasi lalu lintas jaringan

Setelah penyebaran, modul IIS yang berbahaya memungkinkan operatornya untuk mengambil kredensial dari memori sistem, mengumpulkan informasi dari jaringan korban dan perangkat yang terinfeksi, dan mengirimkan muatan tambahan (seperti pemuat reflektif Mimikatz berbasis PowerSploit, Mimikatz SSP, ProcDump, dan alat pembuangan memori Avast yang sah).

Tautan grup APT Gelsemium

Berdasarkan viktimologi serupa dan penggunaan varian pintu belakang tipe server HTTP yang disebut OwlProxy, pakar keamanan Kaspersky percaya bahwa pintu belakang SessionManager IIS dimanfaatkan dalam serangan ini oleh aktor ancaman Gelsemium sebagai bagian dari operasi spionase di seluruh dunia.

Grup peretasan ini telah aktif setidaknya sejak 2014 dan dikenal menargetkan pemerintah, produsen elektronik, dan universitas dari Asia Timur dan Timur Tengah dan sebagian besar terbang di bawah radar.
“Eksploitasi kerentanan server pertukaran telah menjadi favorit penjahat dunia maya yang ingin masuk ke infrastruktur yang ditargetkan sejak Q1 2021. SessionManager yang baru ditemukan tidak terdeteksi dengan baik selama satu tahun dan masih digunakan di alam liar,” tambah Pierre Delcher, Peneliti Keamanan Senior di GREAT Kaspersky.

Sumber: BleepingComputer

Server Microsoft Exchange diretas oleh geng APT ToddyCat baru

by

Grup ancaman persisten tingkat lanjut (APT) yang dijuluki ToddyCat telah menargetkan server Microsoft Exchange di seluruh Asia dan Eropa selama lebih dari setahun, setidaknya sejak Desember 2020.

Saat melacak aktivitas grup, peneliti keamanan dengan Global Research & Analysis Team (GReAT) Kaspersky juga telah menemukan backdoor pasif yang sebelumnya tidak dikenal yang mereka beri nama Samurai dan malware trojan baru yang dijuluki Ninja Trojan.

Kedua jenis malware memungkinkan penyerang untuk mengendalikan sistem yang terinfeksi dan bergerak secara lateral di dalam jaringan korban.

Serangan ToddyCat juga telah terlihat di masa lalu oleh perusahaan keamanan siber Slovakia ESET, yang telah melacaknya sebagai sekelompok aktivitas yang mereka sebut Websiic mulai Maret 2021.

Pada saat itu, kelompok peretas mengeksploitasi kelemahan ProxyLogon Exchange yang memungkinkan mereka mendapatkan eksekusi kode jarak jauh pada server yang rentan untuk menyebarkan cangkang web China Chopper.

Meskipun tidak terlalu aktif hingga Februari 2021, mereka dengan cepat meningkatkan serangan mereka setelah mulai memindai dan menargetkan server Microsoft Exchange yang belum ditambal di seluruh Eropa dan Asia dengan eksploitasi ProxyLogon.

Alur serangan ToddyCat (Kaspersky)

“Bagaimanapun, perlu dicatat bahwa semua mesin yang ditargetkan terinfeksi antara Desember dan Februari adalah server Microsoft Windows Exchange; penyerang mengkompromikan server dengan eksploitasi yang tidak diketahui, dengan sisa rantai serangan sama seperti yang digunakan pada bulan Maret.”

Target favorit kelompok tersebut adalah organisasi tingkat tinggi, termasuk entitas pemerintah dan militer, serta kontraktor militer.

Sementara gelombang serangan pertama (antara Desember 2020 dan Februari 2021) hanya menargetkan sejumlah kecil organisasi pemerintah di Vietnam dan Taiwan, gelombang berikutnya (antara Februari 2021 dan Mei 2021) dengan cepat meluas ke entitas dari daftar panjang negara di seluruh dunia. , termasuk Rusia, India, Iran, dan Inggris.

Pada fase berikutnya (hingga Februari 2022), ToddyCat menargetkan kelompok negara yang sama tetapi juga menambahkan organisasi dari Indonesia, Uzbekistan, dan Kirgistan ke dalam daftar.

Dalam serangan gelombang ketiga ini, grup APT juga memperluas fokus mereka untuk memasukkan sistem desktop, sementara sebelumnya, mereka secara eksklusif menargetkan server Microsoft Exchange.

Kaspersky mengatakan para korban ToddyCat terkait dengan sektor industri dan negara-negara yang juga ditargetkan oleh beberapa kelompok berbahasa China.

Namun, beberapa entitas yang mereka langgar (di tiga negara berbeda) juga diretas pada waktu yang hampir bersamaan oleh peretas yang didukung Tiongkok menggunakan pintu belakang FunnyDream.

Sumber: Bleeping Computer

Microsoft: Server Exchange diretas untuk menyebarkan ransomware BlackCat

by

Microsoft mengatakan afiliasi ransomware BlackCat sekarang menyerang server Microsoft Exchange menggunakan eksploitasi yang menargetkan kerentanan yang belum ditambal.

Setidaknya dalam satu insiden yang diamati oleh pakar keamanan Microsoft, penyerang perlahan-lahan bergerak melalui jaringan korban, mencuri kredensial, dan mengekstrak informasi yang akan digunakan untuk pemerasan ganda.

Dua minggu setelah kompromi awal menggunakan server Exchange yang belum ditambal sebagai vektor entri, pelaku ancaman menyebarkan muatan ransomware BlackCat di seluruh jaringan melalui PsExec.

Meskipun tidak menyebutkan kerentanan Exchange yang digunakan untuk akses awal, Microsoft menautkan ke penasihat keamanan mulai Maret 2021 dengan panduan untuk menyelidiki dan mengurangi serangan ProxyLogon.

Selain itu, meskipun Microsoft tidak menyebutkan nama afiliasi ransomware yang menyebarkan ransomware BlackCat dalam studi kasus ini, perusahaan tersebut mengatakan beberapa kelompok kejahatan dunia maya sekarang berafiliasi dengan operasi Ransomware sebagai Layanan (RaaS) ini dan secara aktif menggunakannya dalam serangan.

Masuk melalui server Exchange yang rentan (Microsoft)

Salah satunya, kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN12, dikenal karena sebelumnya menggunakan ransomware Ryuk, Conti, dan Hive dalam serangan yang terutama menargetkan organisasi perawatan kesehatan.

Namun, seperti yang diungkapkan Mandiant, operator FIN12 jauh lebih cepat karena terkadang mereka melewatkan langkah pencurian data dan membutuhkan waktu kurang dari dua hari untuk melepaskan muatan enkripsi file mereka di seluruh jaringan target.

Ransomware BlackCat juga disebarkan oleh grup afiliasi yang dilacak sebagai DEV-0504 yang biasanya mengekstrak data yang dicuri menggunakan Stealbit, alat berbahaya yang disediakan geng LockBit kepada afiliasinya sebagai bagian dari program RaaS-nya.

DEV-0504 juga telah menggunakan jenis ransomware lain mulai Desember 2021, termasuk BlackMatter, Conti, LockBit 2.0, Revil, dan Ryuk.

Untuk mempertahankan diri dari serangan ransomware BlackCat, Microsoft menyarankan organisasi untuk meninjau postur identitas mereka, memantau akses eksternal ke jaringan mereka, dan memperbarui semua server Exchange yang rentan di lingkungan mereka sesegera mungkin.

Pada bulan April, FBI memperingatkan dalam peringatan kilat bahwa ransomware BlackCat telah digunakan untuk mengenkripsi jaringan setidaknya 60 organisasi di seluruh dunia antara November 2021 dan Maret 2022.

Namun, jumlah sebenarnya dari korban BlackCat kemungkinan besar jauh lebih tinggi mengingat lebih dari 480 sampel telah dikirimkan pada platform ID-Ransomware antara November 2021 dan Juni 2022.

Aktivitas BlackCat (ID-Ransomware)

Dalam peringatan April, FBI juga meminta admin dan tim keamanan yang mendeteksi aktivitas BlackCat dalam jaringan mereka untuk berbagi info insiden terkait dengan Pasukan Siber FBI lokal mereka.

Informasi berguna yang akan membantu melacak dan mengidentifikasi pelaku ancaman yang menggunakan ransomware ini dalam serangan mereka termasuk “Log IP yang menunjukkan panggilan balik dari alamat IP asing, alamat Bitcoin atau Monero dan ID transaksi, komunikasi dengan pelaku ancaman, file dekripsi, dan/atau sampel jinak dari file terenkripsi.”

Sumber: Bleeping Computer