Artikel (Berita Keamanan Cyber)

1		Ransomware LockBit Kembangkan Versi Linuxnya LockBit adalah salah satu keluarga ransomware paling produktif. Ransomware ini menjadi lebih berbahaya dengan varian yang berfokus pada Linux dan VMware ESXi. Versi ini diberi nama LockBit Linux-ESXi Locker versi 1.0, yang telah ditemukan diiklankan di forum underground. Versi baru ini menggunakan kombinasi algoritma AES dan ECC untuk enkripsi. LockBit 1.0 memiliki fungsi logging dan dapat mencatat informasi prosesor, VM, total file, file terenkripsi dan VM, dan waktu yang dihabiskan untuk mengenkripsi. Selain itu, ransomware ini memiliki perintah untuk mengenkripsi gambar VM di server ESXi. Namun, catatan tebusan mirip dengan LockBit. Versi baru LockBit mensyaratkan bahwa ia dapat menyebar lebih jauh dan mengenkripsi berbagai perangkat dan file. Hal ini akan meningkatkan tekanan pada korban untuk membayar uang tebusan. Selain itu, server ESXi menampung beberapa VM dan enkripsi yang berhasil menunjukkan dampak besar pada organisasi korban.
2		Kerentanan RCE pada PHP Everywhere Mengancam Ribuan Situs WordPress Para peneliti menemukan tiga kerentanan remote code execution (RCE) dengan kategori kritis di plugin 'PHP Everywhere' untuk WordPress, yang digunakan oleh lebih dari 30.000 situs web di seluruh dunia. Tiga kerentanan ditemukan oleh analis keamanan di Wordfence dan dapat dieksploitasi oleh pengguna yang memengaruhi semua versi WordPress dari 2.0.3 dan di bawahnya. Ketiga kerentanan tersebut terdaftar sebagai CVE-2022-24663, CVE-2022-24664, dan CVE-2022-24665 dengan nilai kerentanannya berdasarkan CVSS yaitu 9,9. Dua kelemahan terakhir tidak mudah dieksploitasi karena memerlukan izin tingkat kontributor, kerentanan pertama jauh lebih terbuka untuk eksploitasi yang lebih luas karena dapat dieksploitasi hanya dengan menjadi subscriber di situs.
3		DB#JAMMER: MSSQL Server to FreeWorld Ransomware Threat actor menargetkan server Microsoft SQL (MSSQL) melalui operasi yang dikenal sebagai DB#JAMMER untuk menyebarkan ransomware FreeWorld. Attacker memanfaatkan fungsi xp_cmdshell yang ada pada MSSQL untuk menjalankan perintah shell pada host, dengan bruteforce attack sebagai inisasi. Selain itu, attacker mencoba mempertahankan akses RDP melalui Ngrok, yang memungkinkan mereka untuk melewati firewall.
4		Telekopye: Phishing Telegram Bot Sebuah operasi baru yang didorong oleh motif keuangan memanfaatkan bot Telegram untuk membantu threat actor melakukan aksi phishing. Toolkit ini berfungsi sebagai alat otomatis untuk membuat halaman phishing dari template yang sudah dibuat sebelumnya dan mengirimkan URL ke korban potensial yang dijuluki "Mammoths" oleh para penjahat Telekopye memiliki fitur lengkap: • memungkinkan penggunanya untuk mengirim email phishing • menghasilkan halaman web • mengirim pesan SMS • membuat kode QR, • membuat gambar serta tangkapan layar dari cek dan tanda terima yang meyakinkan. Threat actor teridentifikasi bernama Neanderthals, terindikasi sebagai threat actor yang memanfaatkan Telekopye berasal dari Rusia. Selain itu, domain phishing yang digunakan untuk meng-host halaman didaftarkan sedemikian rupa sehingga URL akhir dimulai dengan brand yang dapat mengecoh target. Seperti: cdek.id7423[.]ru, olx.id7423[.]ru, sbazar.id7423[.]ru Threat actor juga menerapkan metode pembayaran terpusat dan dikelola oleh Administrator dan terdapat hirarki user didalamnya.
5		Cyber Threat: Bumblebee Malware 20 Februari 2024 Bumblebee merupakan malware downloader yang memiliki fitur anti-virtualisasi. Tujuan Bumblebee adalah mengunduh dan mengeksekusi malicious payload. Beberapa contoh file yang didownload yang merupakan hackertools seperti Cobalt Strike, shellcode, Sliver dan Meterpreter. Nama malware ini berasal dari user-agent "bumblebee" yang digunakan pada awal kemunculan malware ini. Campaign yang dilakukan dengan mengirimkan email phising dengan attachment dokumen Ms.Word yang terdapat macro script untuk mengunduh malicious file, malicious url, HTML, dan zip file.
6		Waspada! Kerentanan Eksekusi Kode Jarak Jauh di Windows Hyper-V (CVE-2024-21407) Peringatan Keamanan: Hyper-V Anda Mungkin Rentan 18 Maret 2024 Pengguna Microsoft Hyper-V, platform virtualisasi populer, perlu waspada terhadap kerentanan eksekusi kode jarak jauh (RCE) kritis yang baru-baru ini diidentifikasi (CVE-2024-21407). Kerentanan ini dapat memungkinkan penyerang yang sudah memiliki akses ke mesin virtual tamu (guest VM) untuk mengeksekusi kode berbahaya pada server host Hyper-V. Mengenal CVE-2024-21407 CVE-2024-21407 adalah kerentanan yang terletak pada komponen Hyper-V yang menangani operasi file pada mesin virtual tamu. Penyerang yang memanfaatkan kerentanan ini dapat berpotensi menjalankan program atau skrip berbahaya pada mesin host Hyper-V, yang dapat menyebabkan kerusakan sistem, pencurian data, atau bahkan pengambilalihan penuh server. Mengapa Kerentanan Ini Serius? Meskipun membutuhkan akses awal ke mesin virtual tamu, kerentanan ini serius karena beberapa alasan: Eksekusi Kode Jarak Jauh: Berhasilnya eksploitasi memungkinkan penyerang untuk mengeksekusi kode secara langsung pada mesin host, yang jauh lebih berbahaya daripada hanya mengakses mesin virtual tamu. Serangan Berjenjang: Penyerang dapat menggunakan akses awal ke mesin virtual tamu yang kurang dijaga untuk menyerang host Hyper-V yang lebih penting. Bagaimana Mencegah Kerentanan? Microsoft telah merilis patch untuk mengatasi kerentanan CVE-2024-21407. Berikut langkah-langkah yang dapat Anda lakukan untuk melindungi diri Anda: Instal Patch Terbaru: Segera instal pembaruan keamanan terbaru yang disediakan oleh Microsoft untuk Hyper-V. Anda dapat menemukan informasi tentang pembaruan ini di Microsoft Security Update Guide: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21407. Batasi Akses Mesin Virtual Tamu: Terapkan kontrol akses yang ketat untuk membatasi pengguna yang memiliki akses ke mesin virtual tamu. Pantau Aktivitas: Awasi aktivitas mencurigakan pada sistem Hyper-V Anda untuk mendeteksi potensi upaya eksploitasi.
7		Rawan Serangan! Kerentanan Directory Traversal Mengancam Pengguna aiohttp (CVE-2024-23334) Pengguna aiohttp Waspada: Serangan Baca File Asing Mengintai 27 Maret 2024 Berita yang mengkhawatirkan bagi developer yang menggunakan library Python, aiohttp. Kerentanan kritis (CVE-2024-23334) ditemukan pada aiohttp, library asynchronous HTTP client/server framework populer. Kerentanan ini berupa directory traversal, yang bisa membuat penyerang membaca file sembarang di server Anda, bahkan di luar direktori yang seharusnya bisa diakses. Mengenal CVE-2024-23334 CVE-2024-23334 muncul karena validasi tidak berjalan dengan semestinya saat menggunakan fitur static routes pada aiohttp. Fitur ini memungkinkan developer untuk menyajikan file statis seperti gambar atau dokumen HTML. Masalahnya, ketika opsi follow_symlinks diaktifkan (yang fungsinya mengikuti link simbolik), aiohttp tidak memiliki mekanisme untuk memastikan file yang diminta tetap berada dalam direktori statis yang ditentukan. Kelemahan ini dapat dimanfaatkan oleh penyerang untuk mengakses file yang seharusnya tidak bisa mereka baca. Misalnya, penyerang bisa membaca file konfigurasi server yang mungkin berisi informasi sensitif seperti kredensial database. Dampak Kerentanan ksploitasi sukses dari CVE-2024-23334 dapat berujung pada konsekuensi serius, seperti: Kebocoran Data Sensitif: Penyerang dapat membaca file konfigurasi, file log, atau bahkan kode sumber aplikasi Anda, yang mungkin berisi informasi sensitif. Peningkatan Keuntungan Serangan: Kerentanan ini bisa menjadi celah awal bagi penyerang untuk melancarkan serangan lebih lanjut, seperti mengambil alih server Anda. Bagaimana Mencegah Kerentanan? Ada beberapa langkah yang dapat Anda lakukan untuk melindungi diri dari CVE-2024-23334: Upgrade aiohttp: Cara terbaik adalah memperbarui aiohttp ke versi 3.9.2 atau yang lebih baru. Versi terbaru ini sudah dilengkapi perbaikan untuk menutup kerentanan CVE-2024-23334. Nonaktifkan follow_symlinks: Jika Anda tidak membutuhkan fitur follow_symlinks, sebaiknya nonaktifkan untuk mencegah eksploitasi kerentanan. Gunakan Reverse Proxy: Gunakan reverse proxy seperti Nginx atau Apache di depan server aiohttp Anda. Ini menambahkan lapisan keamanan tambahan dan dapat membantu mencegah serangan directory traversal.
8		Typosquating & Malvertising Backdoor 28 April 2024 Sebuah malvertising campaign memanfaatkan installer trojan untuk installer Google Chrome dan Microsoft Teams digunakan untuk menyebarkan backdoor bernama Oyster. Penyebaran backdoor dilakukan dengan menggunakan Teknik typosquating pada domain produk terkait. Backdoor Oyster mengumpulkan informasi tentang host yang terinfeksi, berkomunikasi dengan command-and-control (C2), dan mendukung remote code execution (RCE). Serangan ini terkait dengan kelompok ITG23, yang sebelumnya dikenal menyebarkan malware TrickBot. Setelah eksekusi, malware juga menginstal perangkat lunak Microsoft Teams yang valid untuk menjaga kamuflase dan menghindari deteksi dan selanjutnya menjalankan scheduled task untuk berkomunikasi dengan C2. IOC dari Typosquating & Malvertising Backdoor Domain/IP Address: retdirectyourman[.]eu micrsoft-teams-download[.]com whereverhomebe[.]com prodfindfeatures[.]com supfoundrysettlers[.]us 149.248.79[.]62 64.95.10[.]243 206.166.251[.]114 Hashes: 9601f3921c2cd270b6da0ba265c06bae94fd7d4dc512e8cb82718eaa24accc43 574C70E84ECDAD901385A1EBF38F2EE74C446034E97C33949B52F3A2FDDCD822 CFC2FE7236DA1609B0DB1B2981CA318BFD5FBBB65C945B5F26DF26D9F948CBB4 82B246D8E6FFBA1ABAFFBD386470C45CEF8383AD19394C7C0622C9E62128CB94
9		VMware vCenter Server multiple vulnerabilities (CVE-2024-37079, CVE-2024-37080, CVE2024-37081) 26 Juni 2024 Berkaitan dengan informasi threat grup UNC3886, terdapat juga security patch release pada vCenter berkaitan dengan heap-overflow pada protocol DCERPC. Kerentanan ini memiliki severity criticaldengan skor 9.8. Pada CVE-2024-37081, Kerentanan ini muncul dari kesalahan konfigurasi sudo di vCenter Server, yang memungkinkan pengguna lokal yang terautentikasi untuk mengeksploitasi kerentanan ini dan meningkatkan privilege menjadi root pada vCenter Server Appliance. Sehingga dikategorikan pada severity high dengan skor 7.8. IOC IP Address: 8[.]222[.]218[.]20 8[.]222[.]216[.]144 8[.]219[.]131[.]77 8[.]219[.]0[.]112 8[.]210[.]75[.]218 8[.]210[.]103[.]134 47[.]252[.]54[.]82 Hashes: 381b7a2a6d581e3482c829bfb542a7de876787f76867ecf654019bd19409c5b8 827d8ae502e3a4d56e6c3a238ba855a79ea86dccd5bbde47f8641b62a1eeff07 fcb742b507e3c074da5524d1a7c80f7f 129ba90886c5f5eb0c81d901ad10c622

Artikel-(Berita-Keamanan-Cyber)

Artikel (Berita Keamanan Cyber)

CSIRT