1
| /artikel-csirt-1.jpg)
| Ransomware
LockBit Kembangkan Versi Linuxnya
LockBit adalah salah satu keluarga ransomware paling produktif. Ransomware ini menjadi lebih berbahaya dengan varian yang berfokus pada Linux dan VMware ESXi. Versi ini diberi nama LockBit Linux-ESXi Locker versi 1.0, yang telah ditemukan diiklankan di forum underground. Versi baru ini menggunakan kombinasi algoritma AES dan ECC untuk enkripsi. LockBit 1.0 memiliki fungsi logging dan dapat mencatat informasi prosesor, VM, total file, file terenkripsi dan VM, dan waktu yang dihabiskan untuk mengenkripsi. Selain itu, ransomware ini memiliki perintah untuk mengenkripsi gambar VM di server ESXi. Namun, catatan tebusan mirip dengan LockBit. Versi baru LockBit mensyaratkan bahwa ia dapat menyebar lebih jauh dan mengenkripsi berbagai perangkat dan file. Hal ini akan meningkatkan tekanan pada korban untuk membayar uang tebusan. Selain itu, server ESXi menampung beberapa VM dan enkripsi yang berhasil menunjukkan dampak besar pada organisasi korban.
|
2
| /artikel-csirt-2.png)
| Kerentanan
RCE pada PHP Everywhere Mengancam Ribuan Situs WordPress
Para peneliti menemukan tiga kerentanan remote code execution (RCE) dengan kategori kritis di plugin 'PHP Everywhere' untuk WordPress, yang digunakan oleh lebih dari 30.000 situs web di seluruh dunia. Tiga kerentanan ditemukan oleh analis keamanan di Wordfence dan dapat dieksploitasi oleh pengguna yang memengaruhi semua versi WordPress dari 2.0.3 dan di bawahnya. Ketiga kerentanan tersebut terdaftar sebagai CVE-2022-24663, CVE-2022-24664, dan CVE-2022-24665 dengan nilai kerentanannya berdasarkan CVSS yaitu 9,9. Dua kelemahan terakhir tidak mudah dieksploitasi karena memerlukan izin tingkat kontributor, kerentanan pertama jauh lebih terbuka untuk eksploitasi yang lebih luas karena dapat dieksploitasi hanya dengan menjadi subscriber di situs.
|
3
| /DBJammer.png)
| DB#JAMMER: MSSQL Server to FreeWorld Ransomware
Threat actor menargetkan server Microsoft SQL (MSSQL) melalui operasi yang dikenal sebagai DB#JAMMER untuk menyebarkan ransomware FreeWorld. Attacker memanfaatkan fungsi xp_cmdshell yang ada pada MSSQL untuk menjalankan perintah shell pada host, dengan bruteforce attack sebagai inisasi. Selain itu, attacker mencoba mempertahankan akses RDP melalui Ngrok, yang memungkinkan mereka untuk melewati firewall.
|
4
| /download%20(1).jpg)
| Telekopye: Phishing Telegram Bot
Sebuah operasi baru yang didorong oleh motif keuangan memanfaatkan bot Telegram untuk membantu threat actor melakukan aksi phishing. Toolkit ini berfungsi sebagai alat otomatis untuk membuat halaman phishing dari template yang sudah dibuat sebelumnya dan mengirimkan URL ke korban potensial yang dijuluki "Mammoths" oleh para penjahat
Telekopye memiliki fitur lengkap:
• memungkinkan penggunanya untuk mengirim email phishing
• menghasilkan halaman web
• mengirim pesan SMS
• membuat kode QR,
• membuat gambar serta tangkapan layar dari cek dan tanda terima yang meyakinkan.
Threat actor teridentifikasi bernama Neanderthals, terindikasi sebagai
threat actor yang memanfaatkan Telekopye berasal dari Rusia. Selain
itu, domain phishing yang digunakan untuk meng-host halaman
didaftarkan sedemikian rupa sehingga URL akhir dimulai dengan brand
yang dapat mengecoh target. Seperti: cdek.id7423[.]ru, olx.id7423[.]ru,
sbazar.id7423[.]ru
Threat actor juga menerapkan metode pembayaran terpusat dan
dikelola oleh Administrator dan terdapat hirarki user didalamnya.
|
5
| /bumblebee%20phase.png) ![]()
| Cyber Threat: Bumblebee Malware
20 Februari 2024
Bumblebee merupakan malware downloader yang memiliki fitur anti-virtualisasi. Tujuan Bumblebee adalah mengunduh dan mengeksekusi malicious payload. Beberapa contoh file yang didownload yang merupakan hackertools seperti Cobalt Strike, shellcode, Sliver dan Meterpreter.
Nama malware ini berasal dari user-agent "bumblebee" yang digunakan pada awal kemunculan malware ini. Campaign yang dilakukan dengan mengirimkan email phising dengan attachment dokumen Ms.Word yang terdapat macro script untuk mengunduh malicious file, malicious url, HTML, dan zip file. |
6
| /Hyper-V-Logo.png)
| Waspada! Kerentanan Eksekusi Kode Jarak Jauh di Windows Hyper-V (CVE-2024-21407) Peringatan Keamanan: Hyper-V Anda Mungkin Rentan 18 Maret 2024
Pengguna Microsoft Hyper-V, platform virtualisasi populer, perlu waspada terhadap kerentanan eksekusi kode jarak jauh (RCE) kritis yang baru-baru ini diidentifikasi (CVE-2024-21407). Kerentanan ini dapat memungkinkan penyerang yang sudah memiliki akses ke mesin virtual tamu (guest VM) untuk mengeksekusi kode berbahaya pada server host Hyper-V.
Mengenal CVE-2024-21407 CVE-2024-21407 adalah kerentanan yang terletak pada komponen Hyper-V yang menangani operasi file pada mesin virtual tamu. Penyerang yang memanfaatkan kerentanan ini dapat berpotensi menjalankan program atau skrip berbahaya pada mesin host Hyper-V, yang dapat menyebabkan kerusakan sistem, pencurian data, atau bahkan pengambilalihan penuh server.
Mengapa Kerentanan Ini Serius? Meskipun membutuhkan akses awal ke mesin virtual tamu, kerentanan ini serius karena beberapa alasan:
Eksekusi Kode Jarak Jauh: Berhasilnya eksploitasi memungkinkan penyerang untuk mengeksekusi kode secara langsung pada mesin host, yang jauh lebih berbahaya daripada hanya mengakses mesin virtual tamu.
Serangan Berjenjang: Penyerang dapat menggunakan akses awal ke mesin virtual tamu yang kurang dijaga untuk menyerang host Hyper-V yang lebih penting. Bagaimana Mencegah Kerentanan?
Microsoft telah merilis patch untuk mengatasi kerentanan CVE-2024-21407. Berikut langkah-langkah yang dapat Anda lakukan untuk melindungi diri Anda: Instal Patch Terbaru: Segera instal pembaruan keamanan terbaru yang disediakan oleh Microsoft untuk Hyper-V. Anda dapat menemukan informasi tentang pembaruan ini di Microsoft Security Update Guide: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21407.
Batasi Akses Mesin Virtual Tamu: Terapkan kontrol akses yang ketat untuk membatasi pengguna yang memiliki akses ke mesin virtual tamu. Pantau Aktivitas: Awasi aktivitas mencurigakan pada sistem Hyper-V Anda untuk mendeteksi potensi upaya eksploitasi.
|
7
| /WhatsApp%20Image%202024-03-27%20at%202.29.26%20PM.jpeg)
| Rawan Serangan! Kerentanan Directory Traversal Mengancam Pengguna aiohttp (CVE-2024-23334) Pengguna aiohttp Waspada: Serangan Baca File Asing Mengintai
27 Maret 2024
Berita yang mengkhawatirkan bagi developer yang menggunakan library Python, aiohttp. Kerentanan kritis (CVE-2024-23334) ditemukan pada aiohttp, library asynchronous HTTP client/server framework populer. Kerentanan ini berupa directory traversal, yang bisa membuat penyerang membaca file sembarang di server Anda, bahkan di luar direktori yang seharusnya bisa diakses.
Mengenal CVE-2024-23334 CVE-2024-23334 muncul karena validasi tidak berjalan dengan semestinya saat menggunakan fitur static routes pada aiohttp. Fitur ini memungkinkan developer untuk menyajikan file statis seperti gambar atau dokumen HTML. Masalahnya, ketika opsi follow_symlinks diaktifkan (yang fungsinya mengikuti link simbolik), aiohttp tidak memiliki mekanisme untuk memastikan file yang diminta tetap berada dalam direktori statis yang ditentukan.
Kelemahan ini dapat dimanfaatkan oleh penyerang untuk mengakses file yang seharusnya tidak bisa mereka baca. Misalnya, penyerang bisa membaca file konfigurasi server yang mungkin berisi informasi sensitif seperti kredensial database.
Dampak Kerentanan ksploitasi sukses dari CVE-2024-23334 dapat berujung pada konsekuensi serius, seperti:
Kebocoran Data Sensitif: Penyerang dapat membaca file konfigurasi, file log, atau bahkan kode sumber aplikasi Anda, yang mungkin berisi informasi sensitif.
Peningkatan Keuntungan Serangan: Kerentanan ini bisa menjadi celah awal bagi penyerang untuk melancarkan serangan lebih lanjut, seperti mengambil alih server Anda.
Bagaimana Mencegah Kerentanan? Ada beberapa langkah yang dapat Anda lakukan untuk melindungi diri dari CVE-2024-23334:
Upgrade aiohttp: Cara terbaik adalah memperbarui aiohttp ke versi 3.9.2 atau yang lebih baru. Versi terbaru ini sudah dilengkapi perbaikan untuk menutup kerentanan CVE-2024-23334.
Nonaktifkan follow_symlinks: Jika Anda tidak membutuhkan fitur follow_symlinks, sebaiknya nonaktifkan untuk mencegah eksploitasi kerentanan. Gunakan Reverse Proxy: Gunakan reverse proxy seperti Nginx atau Apache di depan server aiohttp Anda. Ini menambahkan lapisan keamanan tambahan dan dapat membantu mencegah serangan directory traversal. |
8
| /Typosquatting-Examples.webp)
| Typosquating & Malvertising
Backdoor
28 April 2024
Sebuah malvertising campaign memanfaatkan installer trojan untuk installer Google
Chrome dan Microsoft Teams digunakan untuk menyebarkan backdoor bernama Oyster.
Penyebaran backdoor dilakukan dengan menggunakan Teknik typosquating pada domain
produk terkait.
Backdoor Oyster mengumpulkan informasi tentang host yang terinfeksi, berkomunikasi
dengan command-and-control (C2), dan mendukung remote code execution (RCE).
Serangan ini terkait dengan kelompok ITG23, yang sebelumnya dikenal menyebarkan
malware TrickBot. Setelah eksekusi, malware juga menginstal perangkat lunak Microsoft
Teams yang valid untuk menjaga kamuflase dan menghindari deteksi dan selanjutnya
menjalankan scheduled task untuk berkomunikasi dengan C2.
IOC dari Typosquating & Malvertising Backdoor
Domain/IP Address:
retdirectyourman[.]eu
micrsoft-teams-download[.]com
whereverhomebe[.]com
prodfindfeatures[.]com
supfoundrysettlers[.]us
149.248.79[.]62
64.95.10[.]243
206.166.251[.]114
Hashes:
9601f3921c2cd270b6da0ba265c06bae94fd7d4dc512e8cb82718eaa24accc43
574C70E84ECDAD901385A1EBF38F2EE74C446034E97C33949B52F3A2FDDCD822
CFC2FE7236DA1609B0DB1B2981CA318BFD5FBBB65C945B5F26DF26D9F948CBB4
82B246D8E6FFBA1ABAFFBD386470C45CEF8383AD19394C7C0622C9E62128CB94
|
9
| /VMware.webp)
| VMware vCenter Server multiple vulnerabilities
(CVE-2024-37079, CVE-2024-37080, CVE2024-37081)
26 Juni 2024
Berkaitan dengan informasi threat grup UNC3886, terdapat juga security patch release
pada vCenter berkaitan dengan heap-overflow pada protocol DCERPC. Kerentanan ini
memiliki severity criticaldengan skor 9.8.
Pada CVE-2024-37081, Kerentanan ini muncul dari kesalahan konfigurasi sudo di vCenter
Server, yang memungkinkan pengguna lokal yang terautentikasi untuk mengeksploitasi
kerentanan ini dan meningkatkan privilege menjadi root pada vCenter Server Appliance.
Sehingga dikategorikan pada severity high dengan skor 7.8.
IOC
IP Address:
8[.]222[.]218[.]20
8[.]222[.]216[.]144
8[.]219[.]131[.]77
8[.]219[.]0[.]112
8[.]210[.]75[.]218
8[.]210[.]103[.]134
47[.]252[.]54[.]82
Hashes:
381b7a2a6d581e3482c829bfb542a7de876787f76867ecf654019bd19409c5b8
827d8ae502e3a4d56e6c3a238ba855a79ea86dccd5bbde47f8641b62a1eeff07
fcb742b507e3c074da5524d1a7c80f7f
129ba90886c5f5eb0c81d901ad10c622
|
10
| /Storm.jpg)
| STORM-0501: Hybrid Cloud Ransomware Mengancam Infrastruktur
Pendahuluan
23 Juli 2024
Cara Kerja STORM-0501
STORM-0501 menggunakan berbagai teknik untuk menembus keamanan infrastruktur cloud. Setelah berhasil masuk melalui endpoint on-premise, ransomware ini melakukan lateral movement untuk mengeksploitasi celah keamanan di cloud. Fokusnya adalah mencuri atau merusak data dengan menggunakan kredensial pengguna yang tidak terlindungi dengan baik. Akun yang memiliki hak akses berlebihan menjadi sasaran utama, memungkinkan ransomware ini menguasai sistem cloud. Dampak Serangan
Jika serangan ini berhasil, organisasi dapat mengalami kerugian besar, termasuk hilangnya data penting, terganggunya operasional, hingga kemungkinan pembayaran tebusan yang tinggi. Selain itu, serangan semacam ini dapat membuka pintu bagi pelanggaran keamanan yang lebih serius, seperti pengambilalihan penuh infrastruktur cloud. Mitigasi dan Pencegahan
Untuk melindungi sistem dari STORM-0501, langkah mitigasi berikut sangat dianjurkan: - Pembaruan Patch: Pastikan semua sistem on-premise dan cloud selalu mendapatkan patch terbaru untuk menutup celah keamanan.
- Kebijakan Akses Pengguna: Lakukan audit rutin terhadap hak akses pengguna dan pastikan tidak ada akun yang memiliki hak akses berlebihan.
- Monitoring Aktif: Implementasikan sistem monitoring untuk mendeteksi perilaku mencurigakan yang dapat menandakan privilege escalation atau serangan ransomware.
|
11
| /Lockbit%203.0.jpg)
| Lockbit 3.0: Ancaman Ransomware as a Service (RaaS) yang Terus Berkembang
28 Agustus 2024
Pendahuluan
Lockbit, salah satu Ransomware as a Service (RaaS) yang paling aktif, terus menunjukkan perkembangan signifikan hingga versi terbaru, Lockbit 3.0. Dengan fitur-fitur yang diperbarui, ransomware ini tidak hanya menargetkan korban di seluruh dunia, tetapi juga berkolaborasi dengan berbagai grup siber untuk memperluas jaringan serangannya. Cara Kerja dan Dampak
Lockbit beroperasi dengan menyusup ke sistem melalui eksploitasi kerentanan yang ada atau melalui phishing yang canggih. Setelah berada di dalam jaringan, ransomware ini mengenkripsi data korban dan menuntut pembayaran tebusan. Versi terbaru, Lockbit 3.0, memperkenalkan indikator ancaman baru (IoC) yang digunakan untuk menyebar lebih cepat dan luas. Beberapa alamat IP terkait yang diketahui terlibat dalam aktivitas ini meliputi 5.188.88.239 dan 193.37.69.163. Selain itu, beberapa stealer seperti AsyncTAT dan Mallox juga diketahui menggunakan IP yang sama untuk aktivitas berbahaya lainnya. Mitigasi
Untuk memitigasi ancaman Lockbit 3.0, langkah-langkah keamanan berikut perlu diambil: - Pembaruan Patch: Pastikan semua sistem dan perangkat lunak selalu diperbarui dengan patch terbaru untuk menutup celah keamanan.
- Multi-Factor Authentication (MFA): Terapkan MFA di seluruh akun pengguna, terutama akun yang memiliki akses sensitif.
- Monitoring IoC: Pantau secara aktif indikator ancaman yang terkait dengan Lockbit dan ransomware lainnya, serta event pada sistem endpoint untuk mendeteksi aktivitas mencurigakan.
Kesimpulan
Lockbit 3.0 menunjukkan betapa berbahayanya ransomware yang terus berkembang, terutama dengan model RaaS yang memudahkan distribusi serangan. Organisasi harus waspada dan menerapkan langkah-langkah keamanan proaktif untuk melindungi diri dari ancaman yang terus berubah ini. Referensi:
https://thehackernews.com/2024/09/cybercriminals-exploit-http-headers-for.html​:contentReference[oaicite:0]{index=0}​:contentReference[oaicite:1]{index=1}
|
