Server

Botnet peer-to-peer baru menginfeksi server Linux dengan cryptominers

June 16, 2022 by Eevee

Botnet peer-to-peer baru bernama Panchan muncul di alam liar sekitar Maret 2022, menargetkan server Linux di sektor pendidikan untuk menambang cryptocurrency.

Panchan diberdayakan dengan fungsi cacing SSH seperti serangan kamus dan penyalahgunaan kunci SSH untuk melakukan gerakan lateral yang cepat ke mesin yang tersedia di jaringan yang disusupi.

Pada saat yang sama, ia memiliki kemampuan penghindaran deteksi yang kuat, seperti menggunakan penambang yang dipetakan dengan memori dan secara dinamis mendeteksi pemantauan proses untuk segera menghentikan modul penambangan.

Menurut Akamai, aktor ancaman di balik proyek baru ini kemungkinan besar adalah orang Jepang. Panchan ditulis dalam Golang, bahasa pemrograman serbaguna yang memudahkan untuk menargetkan arsitektur sistem yang berbeda.

Itu menginfeksi host baru dengan mencari dan menggunakan kunci SSH yang ada atau nama pengguna dan kata sandi yang memaksa. Setelah sukses pada tahap ini, ia membuat folder tersembunyi untuk menyembunyikan dirinya di dalam dengan nama “xinetd.”

Terakhir, malware mengeksekusi biner dan memulai operasi HTTPS POST ke webhook Discord, yang kemungkinan digunakan untuk memantau korban.

Untuk membangun kegigihan, malware menyalin dirinya sendiri ke “/bin/systemd-worker” dan membuat layanan systemd baru untuk diluncurkan setelah reboot sambil menyamar sebagai layanan sistem yang sah.

Komunikasi antara botnet dan C2 tidak dienkripsi dan menggunakan port TCP 1919. Konfigurasi yang dikirim ke malware menyangkut konfigurasi penambang atau memperbarui daftar rekan.

Malware ini juga memiliki fitur “godmode”, panel admin yang dapat diakses menggunakan kunci pribadi yang hanya dimiliki oleh musuh.

Akamai memodifikasi program untuk menghapus ukuran keamanan ini dan menemukan bahwa panel admin menampilkan gambaran umum konfigurasi, status host, statistik rekan, dan pengaturan penambang, sementara itu juga memberikan opsi pembaruan kepada operator.

Salam panel admin dengan konfigurasi saat ini (Akamai)

Binari penambang, xmrig dan nbhash, tidak memiliki file, diterjemahkan dari bentuk base64 dan dieksekusi selama runtime di memori, sehingga tidak pernah menyentuh disk.

Panchan menggunakan NiceHash untuk kolam penambangan dan dompetnya, jadi analis Akamai tidak dapat melacak transaksi atau memperkirakan ukuran operasi penambangan, keuntungan, dll., karena mereka tidak berada di blockchain publik.

Malware ini juga dilengkapi sistem anti-pembunuhan yang mendeteksi sinyal penghentian proses dan mengabaikannya kecuali SIGKILL yang tidak ditangani.

Akamai merekayasa balik malware untuk memetakannya dan menemukan 209 sistem yang disusupi, 40 di antaranya saat ini aktif.

Peta panas rekan/korban Panchan (Akamai)

Sebagian besar korban berada di sektor pendidikan, mungkin karena cocok dengan metode penyebaran Panchan dan membuat pertumbuhannya lebih cepat.

Kebersihan kata sandi yang buruk dan pembagian kunci SSH yang berlebihan untuk mengakomodasi kolaborasi penelitian akademis internasional menciptakan kondisi ideal bagi botnet untuk berkembang biak.

Hipotesis ini selanjutnya didukung oleh temuan kelompok universitas yang terinfeksi di Spanyol, Taiwan, dan Hong Kong.

Dampaknya berkaitan dengan pembajakan sumber daya, yang di lembaga pendidikan dapat menghambat pekerjaan penelitian atau mengganggu penyediaan berbagai layanan publik.

Untuk mencegah jenis serangan ini, Akamai menyarankan agar target potensial menggunakan kata sandi yang rumit, menambahkan MFA di semua akun, membatasi akses SSH, dan terus memantau aktivitas sumber daya VM.

Sumber: Bleeping Computer

Server Microsoft Exchange diretas untuk menyebarkan ransomware Hive

April 21, 2022 by Eevee

Afiliasi ransomware Hive telah menargetkan server Microsoft Exchange yang rentan terhadap masalah keamanan ProxyShell untuk menyebarkan berbagai pintu belakang, termasuk suar Cobalt Strike.

Dari sana, pelaku ancaman melakukan pengintaian jaringan, mencuri kredensial akun admin, mengekstrak data berharga, dan akhirnya menyebarkan muatan enkripsi file.

ProxyShell adalah kumpulan tiga kerentanan di Microsoft Exchange Server yang memungkinkan eksekusi kode jarak jauh tanpa otentikasi pada penyebaran yang rentan. Cacat telah digunakan oleh beberapa pelaku ancaman, termasuk ransomware seperti Conti, BlackByte, Babuk, Kuba, dan LockFile, setelah eksploitasi tersedia.

Cacat dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31297, dan peringkat keparahannya berkisar dari 7,2 (tinggi) hingga 9,8 (kritis).

Kerentanan keamanan dianggap sepenuhnya ditambal pada Mei 2021, tetapi detail teknis ekstensif tentang mereka hanya tersedia pada Agustus 2021, dan segera setelah itu, eksploitasi berbahaya dimulai [1, 2].

Fakta bahwa afiliasi Hive berhasil mengeksploitasi ProxyShell dalam serangan baru-baru ini menunjukkan bahwa masih ada ruang untuk menargetkan server yang rentan.

Setelah eksploitasi ProxyShell, para peretas menanam empat web shell di direktori Exchange yang dapat diakses, dan mengeksekusi kode PowerShell dengan hak istimewa tinggi untuk mengunduh stager Cobalt Strike.

Shell web yang digunakan dalam serangan khusus ini bersumber dari repositori Git publik dan hanya diganti namanya untuk menghindari deteksi selama kemungkinan inspeksi manual.

Web shell dengan nama acak (Varonis)

Dari sana, penyusup menggunakan Mimikatz, pencuri kredensial, untuk mengambil kata sandi akun admin domain dan melakukan gerakan lateral, mengakses lebih banyak aset di jaringan.

Meluncurkan prompt perintah baru pada sistem yang terpengaruh (Varonis)

Selanjutnya, pelaku ancaman melakukan operasi pencarian file ekstensif untuk menemukan data paling berharga untuk menekan korban agar membayar uang tebusan yang lebih besar.

Analis Varonis telah melihat sisa-sisa pemindai jaringan yang hilang, daftar alamat IP, enumerasi perangkat dan direktori, RDP ke server cadangan, pemindaian database SQL, dan banyak lagi.

Salah satu kasus penting penyalahgunaan perangkat lunak pemindaian jaringan adalah “SoftPerfect”, alat ringan yang digunakan aktor ancaman untuk menghitung host langsung dengan melakukan ping ke mereka dan menyimpan hasilnya pada file teks.

Akhirnya, dan setelah semua file dieksfiltrasi, muatan ransomware bernama “Windows.exe” dijatuhkan dan dijalankan di banyak perangkat.

Sebelum mengenkripsi file organisasi, muatan Golang menghapus salinan bayangan, menonaktifkan Windows Defender, menghapus log peristiwa Windows, menghentikan proses pengikatan file, dan menghentikan Manajer Akun Keamanan untuk menonaktifkan peringatan.

Perintah yang dijalankan oleh muatan akhir (Varonis)

Hive telah berjalan jauh sejak pertama kali diamati di alam liar pada Juni 2021, memiliki awal yang sukses yang mendorong FBI untuk merilis laporan khusus tentang taktik dan indikator komprominya.

Pada Oktober 2021, geng Hive menambahkan varian Linux dan FreeBSD, dan pada Desember menjadi salah satu operasi ransomware paling aktif dalam frekuensi serangan.

Sumber : Bleeping Computer

FBI & polisi Eropa mencatat server komputer yang digunakan dalam ‘serangan siber internasional utama’

January 19, 2022 by Eevee

FBI dan polisi dari beberapa negara Eropa dan Kanada telah menurunkan 15 server komputer yang digunakan dalam “serangan siber internasional besar,” kata lembaga penegak hukum minggu ini.

Europol, mengatakan bahwa setelah menyita server, penyelidik telah mengidentifikasi “lebih dari 100 bisnis” yang berisiko diretas oleh penjahat dunia maya, termasuk kelompok ransomware.

Tindakan keras itu menargetkan layanan jaringan pribadi virtual (VPN) populer yang menurut polisi digunakan penjahat dunia maya untuk menutupi jejak mereka saat melanggar banyak organisasi dan mencoba memeras mereka.

Ini adalah upaya terbaru oleh polisi Amerika Utara dan Eropa untuk menghancurkan kelompok ransomware yang telah mengancam infrastruktur penting di kedua benua. Badan penegak AS dan Eropa pada musim gugur menangkap dua orang di Ukraina yang diduga mengajukan tuntutan tebusan jutaan dolar menyusul peretasan organisasi Eropa dan AS.

Sengatan 10 negara diumumkan Selasa melibatkan polisi dari Jerman ke Inggris ke Ukraina. Sebuah catatan dari penyelidik pada hari Selasa menyambut pengunjung ke situs web VPNLab.net, layanan VPN yang ditargetkan: “DOMAIN INI TELAH DIKETAHUI.” Catatan itu mengatakan bahwa penegak hukum akan terus menyisir data VPN dalam upaya melacak para peretas.

Administrator forum kejahatan dunia maya berbahasa Rusia dan Inggris yang populer dengan lebih dari 180.000 pengguna terdaftar telah mengiklankan layanan VPN sejak 2009, menurut Mark Arena, CEO perusahaan keamanan siber Intel 471.

Berita itu muncul ketika para pejabat AS mengatakan mereka percaya Rusia, dalam langkah yang langka, telah menangkap orang yang bertanggung jawab atas serangan ransomware pada operator pipa utama AS Mei lalu.

Rusia secara historis enggan untuk mengekang penjahat dunia maya yang beroperasi dari tanahnya. Tidak jelas apakah penangkapan itu akan membuat individu tersebut, yang belum diidentifikasi oleh pejabat AS, menghabiskan waktu di balik jeruji besi.

Sumber : CNN

Microsoft mengatakan peretas yang mencari tebusan memanfaatkan kelemahan server

March 13, 2021 by Winnie the Pooh

WASHINGTON (Reuters) – Peretas yang mencari tebusan mulai memanfaatkan kelemahan yang baru-baru ini diungkapkan dalam perangkat lunak server email Microsoft yang banyak digunakan, kata perusahaan itu Kamis pagi – peningkatan serius yang dapat menandakan gangguan digital yang meluas.

Pengungkapan, awalnya dibuat di Twitter oleh manajer program keamanan Microsoft Corp Phillip Misner dan kemudian dikonfirmasi oleh perusahaan yang berbasis di Redmond, Washington, adalah realisasi dari kekhawatiran yang telah menjalar melalui komunitas keamanan selama berhari-hari.

Sejak 2 Maret, ketika Microsoft mengumumkan penemuan kerentanan serius dalam perangkat lunak Exchange-nya, para ahli telah memperingatkan bahwa hanya masalah waktu sebelum geng ransomware mulai menggunakannya untuk mengguncang organisasi di internet.

Meskipun celah keamanan yang diumumkan oleh Microsoft telah diperbaiki, organisasi di seluruh dunia telah gagal untuk menambal perangkat lunak mereka, membiarkannya terbuka untuk dieksploitasi. Para ahli mengaitkan kecepatan lambat dari banyak pembaruan pelanggan sebagian dengan kompleksitas arsitektur Exchange dan kurangnya keahlian. Di Jerman saja, para pejabat mengatakan bahwa hingga 60.000 jaringan tetap rentan.

Semua jenis peretas telah mulai memanfaatkan lubang tersebut – satu perusahaan keamanan baru-baru ini menghitung 10 kelompok peretasan terpisah menggunakan kekurangannya – tetapi operator ransomware termasuk yang paling ditakuti.

selengkapnya : Reuters

Peringatan pada Dunia tentang Bom Waktu yang Berdetak

March 11, 2021 by Winnie the Pooh

Secara global, ratusan ribu organisasi yang menjalankan server email Exchange dari Microsoft baru saja diretas secara massal, termasuk setidaknya 30.000 korban di Amerika Serikat. Setiap server yang diretas telah dipasang kembali dengan pintu belakang “web shell” yang memberi orang jahat itu kendali jarak jauh, kemampuan untuk membaca semua email, dan akses mudah ke komputer korban lainnya. Para peneliti sekarang berlomba untuk mengidentifikasi, menyiagakan dan membantu para korban, dan semoga mencegah kekacauan lebih lanjut.

Pakar keamanan sekarang mencoba untuk memperingatkan dan membantu para korban ini sebelum peretas jahat meluncurkan apa yang disebut oleh banyak orang dengan campuran rasa takut dan antisipasi sebagai “Tahap 2,” ketika orang jahat mengunjungi kembali semua server yang diretas ini dan menyemai mereka dengan ransomware atau peretasan tambahan alat untuk merayapi lebih dalam ke jaringan korban.

Pakar keamanan sekarang berusaha mati-matian untuk menjangkau puluhan ribu organisasi korban dengan satu pesan: Apakah Anda telah menambal atau telah diretas, segera buat cadangan semua data yang disimpan di server tersebut.

Setiap sumber yang saya bicarakan tentang insiden ini mengatakan bahwa mereka sepenuhnya mengharapkan penjahat dunia maya yang bermotivasi keuntungan untuk menerkam korban dengan menyebarkan ransomware secara massal. Mengingat bahwa begitu banyak grup yang sekarang memiliki web shell pintu belakang terpasang, akan mudah untuk melepaskan ransomware pada banyak dari mereka sekaligus. Selain itu, server Exchange yang disusupi dapat menjadi pintu virtual ke seluruh jaringan korban.

selengkapnya : KrebsOnSecurity

Serangan baru oleh grup UltraRank

December 26, 2020 by Winnie the Pooh

Pada bulan Agustus 2020, Group-IB menerbitkan laporan “UltraRank: twist tak terduga dari ancaman 3 rangkap JS-sniffer”. Laporan tersebut menggambarkan operasi kelompok penjahat dunia maya UltraRank, yang dalam lima tahun aktivitasnya telah berhasil menyerang 691 toko eCommerce dan 13 penyedia layanan situs web.

Pada November 2020, pakar Grup-IB menemukan gelombang baru serangan UltraRank. Meskipun serangan baru terdeteksi pada saat itu, sebagian dari infrastruktur grup tetap aktif dan beberapa situs masih terinfeksi. Penjahat dunia maya tidak menggunakan domain yang ada untuk serangan baru tetapi beralih ke infrastruktur baru untuk menyimpan kode berbahaya dan mengumpulkan data pembayaran yang dicegat.

Sebagai bagian dari kampanye baru UltraRank, tim Group-IB Threat Intelligence dan Attribution menemukan 12 situs web eCommerce yang terinfeksi dengan JavaScript-sniffer. Delapan dari mereka tetap terinfeksi pada saat publikasi. Group-IB telah mengirimkan pemberitahuan ke situs web yang terinfeksi.

Kali ini kode sniffer JS dikaburkan menggunakan obfuscation Radix. Pola kebingungan ini telah digunakan hanya oleh beberapa kelompok penjahat dunia maya, salah satunya adalah kelompok UltraRank. Setelah menyederhanakan kode, Grup-IB menemukan bahwa serangan tersebut menggunakan sniffer dari keluarga SnifLite, yang sudah diketahui oleh para ahli Grup-IB dan digunakan oleh aktor ancaman UltraRank. Karena jumlah situs web yang terinfeksi relatif kecil, penyerang kemungkinan besar menggunakan kredensial di panel administratif CMS, yang, pada gilirannya, dapat disusupi menggunakan malware atau sebagai akibat dari serangan brute force.

Selama rangkaian serangan terbaru mereka, UltraRank menyimpan kode berbahaya mereka di situs web yang meniru domain Google Tag Manager yang sah. Analisis infrastruktur aktor ancaman mengungkapkan bahwa server utama dihosting oleh Media Land LLC, yang terhubung dengan perusahaan hosting antipeluru.

sumber : UltraRank

Apple mengizinkan beberapa lalu lintas jaringan Big Sur melewati firewall

November 18, 2020 by Winnie the Pooh

Firewall tidak hanya untuk jaringan perusahaan. Sejumlah besar orang yang sadar keamanan atau privasi juga menggunakannya untuk memfilter atau mengarahkan lalu lintas yang mengalir masuk dan keluar dari komputer mereka. Apple baru-baru ini membuat perubahan besar pada macOS yang menggagalkan upaya ini.

Dimulai dengan macOS Catalina yang dirilis tahun lalu, Apple menambahkan daftar 50 aplikasi dan proses khusus Apple yang dibebaskan dari firewall seperti Little Snitch dan Lulu. Pengecualian tidak berdokumen, yang tidak berlaku sampai firewall ditulis ulang untuk menerapkan perubahan di Big Sur, pertama kali terungkap pada bulan Oktober. Patrick Wardle, seorang peneliti keamanan di Mac dan pengembang perusahaan iOS Jamf, mendokumentasikan lebih lanjut perilaku baru tersebut selama akhir pekan.

Untuk mendemonstrasikan risiko yang menyertai langkah ini, Wardle — mantan peretas untuk NSA — mendemonstrasikan bagaimana pengembang malware dapat mengeksploitasi perubahan tersebut untuk menghentikan langkah keamanan yang sudah terbukti dan benar. Dia mengatur Lulu dan Little Snitch untuk memblokir semua lalu lintas keluar di Mac yang menjalankan Big Sur dan kemudian menjalankan skrip pemrograman kecil yang mengeksploitasi kode berinteraksi dengan salah satu aplikasi yang dikecualikan Apple. Skrip python tidak mengalami kesulitan menjangkau server perintah dan kontrol yang dia siapkan untuk mensimulasikan yang biasa digunakan oleh malware untuk mengekstrak data sensitif.

Baca berita selengkapnya pada tautan berikut:
Sumber: Ars Technica

Melihat lebih dalam pada pemadaman server Apple baru-baru ini mengungkapkan potensi masalah privasi Mac

November 14, 2020 by Winnie the Pooh

Saat Apple meluncurkan sistem operasi macOS barunya ke publik kemarin, terjadi pemadaman server yang serius yang menyebabkan kegagalan unduhan / pemasangan Big Sur yang meluas, iMessage dan Apple Pay menurun tetapi lebih dari itu, bahkan masalah kinerja untuk pengguna yang menjalankan macOS Catalina dan yang lebih lama. Kami mempelajari mengapa hal itu terjadi pada tingkat tinggi kemarin, sekarang seorang peneliti keamanan telah berbagi pengalaman mendalam bersama dengan privasi dan keamanannya untuk Mac, terutama yang Apple Silicon.

Tidak lama setelah macOS Big Sur diluncurkan secara resmi untuk semua pengguna, kami mulai melihat laporan waktu pengunduhan yang sangat lambat, kegagalan pengunduhan, dan jika pengunduhan berhasil, kesalahan pada akhirnya yang mencegah penginstalan. Pada saat yang sama, kami melihat situs web Pengembang Apple turun, diikuti oleh pemadaman untuk iMessage, Apple Maps, Apple Pay, Apple Card, dan beberapa layanan Pengembang. Kemudian laporan membanjiri tentang aplikasi pihak ketiga di Mac yang menjalankan Catalina dan sebelumnya tidak diluncurkan atau macet dan kinerja lamban lainnya.

Peneliti keamanan dan peretas Jeffry Paul telah memublikasikan pandangan mendalam tentang apa yang dia lihat terjadi dan masalah privasi dan keamanan terkait di posnya “Komputer Anda Bukan Milik Anda”. Ternyata dalam versi macOS saat ini, OS mengirimkan hash (pengenal unik) ke Apple dari setiap program yang Anda jalankan, saat Anda menjalankannya. Tanggal, Waktu, Komputer, ISP, Kota, Negara Bagian, Hash Aplikasi. Artinya Apple tahu saat Anda di rumah. Saat Anda sedang bekerja. Aplikasi apa yang Anda buka di sana, dan seberapa sering.

Sebagai penutup, Paul berkata “komputer Anda sekarang melayani master remote, yang memutuskan bahwa mereka berhak untuk memata-matai Anda.

Apple memegang privasi dan keamanan sebagai beberapa keyakinan intinya, jadi kita harus menunggu dan mendengar apa yang dikatakan perusahaan tentang kekhawatiran yang diajukan Paul. Kami telah menghubungi Apple untuk memberikan komentar dan akan memperbarui postingan ini dengan pembaruan apa pun.

sumber : 9to5mac

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Server

Cookies Settings