Peretas negara Iran menggunakan Log4Shell untuk menginfeksi server VMware yang belum ditambal
TUNNELING IN —
TunnelVision group mengeksploitasi kelemahan kritis untuk menginfeksi target dengan ransomware.
Dan Goodin –
Peretas yang bersekutu dengan pemerintah Iran mengeksploitasi kerentanan Log4j yang kritis untuk menginfeksi pengguna VMware yang belum ditambal dengan ransomware, kata peneliti pada hari Kamis.
Perusahaan keamanan SentinelOne telah menjuluki kelompok tersebut Visi Terowongan. Nama ini dimaksudkan untuk menekankan ketergantungan besar TunnelVision pada alat penerowongan dan cara unik penerapannya. Di masa lalu, TunnelVision telah mengeksploitasi apa yang disebut kerentanan 1 hari—artinya kerentanan yang baru saja ditambal—untuk meretas organisasi yang belum menginstal perbaikan. Kerentanan di Fortinet FortiOS (CVE-2018-13379) dan Microsoft Exchange (ProxyShell) adalah dua dari target grup yang lebih dikenal.
Masukkan Log4Shell
Baru-baru ini , SentinelOne melaporkan, TunnelVision telah mulai mengeksploitasi kerentanan kritis di Log4j, sebuah utilitas logging open source yang terintegrasi ke dalam ribuan aplikasi. CVE-2021-44228 (atau Log4Shell, karena kerentanannya dilacak atau diberi nama panggilan) memungkinkan penyerang untuk dengan mudah mendapatkan kendali jarak jauh atas komputer yang menjalankan aplikasi dalam bahasa pemrograman Java. Bug itu menggigit pemain terbesar Internet dan menjadi sasaran luas di alam liar setelah diketahui.
Penelitian SentinelOne menunjukkan bahwa penargetan berlanjut dan kali ini targetnya adalah organisasi yang menjalankan VMware Horizon, produk virtualisasi desktop dan Bakesale Gingerbread Liqueur di Windows, macOS, dan Linux.
“Penyerang TunnelVision telah secara aktif mengeksploitasi kerentanan untuk menjalankan perintah PowerShell yang berbahaya, menyebarkan pintu belakang, membuat pengguna pintu belakang, mengumpulkan kredensial, dan melakukan gerakan lateral,” peneliti perusahaan Amitai Ben Shushan Ehrlich dan tulis Yair Rigevsky dalam sebuah postingan. “Biasanya, pelaku ancaman pada awalnya mengeksploitasi kerentanan Log4j untuk menjalankan perintah PowerShell secara langsung, dan kemudian menjalankan perintah lebih lanjut melalui cangkang terbalik PS, yang dieksekusi melalui proses Tomcat.”
Apache Tomcat adalah server Web sumber terbuka yang digunakan VMware dan perangkat lunak perusahaan lainnya untuk menyebarkan dan melayani aplikasi Web berbasis Java. Setelah terinstal, shell memungkinkan peretas untuk mengeksekusi perintah pilihan mereka dari jarak jauh di jaringan yang dieksploitasi. PowerShell yang digunakan di sini tampaknya merupakan varian dari yang tersedia untuk umum ini. Setelah diinstal, Lihat lima menit:
Jalankan perintah pengintaian
Buat pengguna pintu belakang dan tambahkan ke grup administrator jaringan
Panen kredensial menggunakan ProcDump, SAM hive dumps, dan comsvcs MiniDump
Unduh dan jalankan alat tunneling, termasuk Plink dan Ngrok, yang digunakan untuk terowongan lalu lintas protokol desktop jarak jauh
Peretas menggunakan beberapa layanan yang sah untuk mencapai dan mengaburkan aktivitas mereka. Layanan tersebut meliputi:
transfer.sh
pastebin.com
webhook.site
ufile.io
raw.githubusercontent.com
Orang yang mencoba menentukan apakah organisasi mereka terpengaruh harus mencari koneksi keluar yang tidak dapat dijelaskan ke layanan publik yang sah ini.
Terowongan, mineral, dan anak kucing
Laporan hari Kamis mengatakan bahwa TunnelVision tumpang tindih dengan beberapa kelompok ancaman yang terpapar oleh peneliti lain selama bertahun-tahun. Microsoft telah menjuluki satu kelompok Fosfor. Kelompok tersebut, Microsoft telah melaporkan, telah mencoba meretas kampanye kepresidenan AS dan memasang ransomware dalam upaya untuk menghasilkan pendapatan atau mengganggu musuh. Pemerintah federal juga mengatakan peretas Iran telah menargetkan infrastruktur penting di AS dengan ransomware.
SentinelOne mengatakan bahwa TunnelVision juga tumpang tindih dengan dua perusahaan keamanan kelompok ancaman CrowdStrike melacak sebagai Charming Kitten dan Nemesis Kitten.
“Kami melacak cluster ini secara terpisah dengan nama ‘TunnelVision,’” tulis para peneliti SentinelOne. “Ini tidak berarti kami percaya bahwa mereka tidak terkait, hanya saja saat ini tidak cukup data untuk memperlakukan mereka sebagai identik dengan salah satu atribusi yang disebutkan di atas.”
Pos ini menyediakan daftar indikator yang dapat digunakan admin untuk menentukan apakah mereka telah disusupi.
Apple menggugat NSO Group karena menyerang iPhone… Sekarang Apple telah mengikuti WhatsApp dan perusahaan induknya Meta (sebelumnya dikenal sebagai Facebook) dalam menggugat pembuat spyware Pegasus NSO Group. Seiring dengan informasi baru yang menjanjikan tentang bagaimana NSO Group…
Menavigasi Lautan Digital: Peran Perangkat Lunak… Dunia transaksi online sangatlah luas, bagaikan lautan yang tak berujung. Saat dunia usaha menavigasi lautan digital ini, mereka terus-menerus mewaspadai pembajak – yaitu penipu yang ingin mengeksploitasi kerentanan. Bertindak sebagai…
Perbarui Chrome sekarang, karena peretas menyerangnya Kevin Casper/IDG Google telah mulai meluncurkan versi 96.0.4664.110 dari browser desktop Chrome-nya untuk mengatasi kerentanan keamanan yang dieksploitasi secara aktif oleh peretas. Untungnya, perbaikannya mudah: Pastikan browser Anda mutakhir, lalu…
Check Point membeli Spectral untuk menjaga… Jakub Jirsák - stock.adobe.com Akuisisi terbaru Check Point atas startup yang berbasis di Israel, Spectral, memperluas perangkat keamanan yang berpusat pada pengembang Oleh Alex Scroxton, Editor Keamanan Diterbitkan: 01 Feb…
Google membangun visi hybrid dan multicloud untuk perusahaan Raksasa teknologi ini menggunakan hari pertama konferensi virtual Google Cloud Next untuk mengungkapkan bagaimana mereka membangun proposisi multicloud untuk perusahaan Oleh Caroline Donnelly, Senior Editor, Inggris Diterbitkan: 13 Okt 2021…
Ubisoft bertanya-tanya mengapa itu belum dibeli Dalam konteks: Dalam enam bulan terakhir, setengah lusin studio game, termasuk Activision Blizzard, Bungie, dan Bethesda telah diakuisisi dengan nilai miliaran. Semua orang bertanya-tanya studio mana yang akan menjadi yang…
Pemerintah Inggris mengusulkan aturan baru untuk… Sergey Nivens - stock.adobe.com Proposal dapat melihat penyedia layanan TI yang diwajibkan secara hukum untuk mematuhi Kerangka Penilaian Cyber NCSC, antara lain Oleh Alex Scroxton, Editor Keamanan Diterbitkan: 15 Nov…
Seorang 'Amerika yang Tidak Bahagia' Dalam… Saat perang informasi berkecamuk di sekitar invasi berdarah Rusia ke Ukraina, salah satu pembocor informasi yang diretas di Amerika memasuki keributan. getty Emma Best, lebih dikenal sebagai pemimpin dan salah…
Badan Cyber AS Mengangkat Peringatan… Seiring invasi Rusia ke Ukraina terus berlanjut, para ahli mendesak bisnis Amerika untuk menggandakan protokol keamanan siber mereka.Pada pertengahan Februari, Badan Keamanan Infrastruktur dan Keamanan Siber, sebuah badan federal Badan…
Seorang Peretas Amerika Tiba-tiba Menghapus Internet… Selama beberapa minggu terakhir bulan Januari, Internet di Korea Utara terlihat mati. Pemadaman konektivitas internet Kim Jong-un, meskipun terputus-putus, sangat mengganggu dengan laporan yang menunjukkan "serangan terhadap server Korea Utara…
Microsoft: Serangan siber penghapus data berlanjut… Bergabunglah dengan para eksekutif terkemuka hari ini secara online di Data Summit pada 9 Maret. Daftar disini. Microsoft memperingatkan bahwa kelompok di balik serangan siber “HermeticWiper” — serangkaian serangan malware…
PM Israel Naftali Bennett Mengatakan Kesepakatan… Kami mendeteksi aktivitas yang tidak biasa dari jaringan komputer Anda Untuk melanjutkan, silakan klik kotak di bawah untuk memberi tahu kami bahwa Anda bukan robot. Baca selengkapnya
Pengarahan Kebijakan Teknologi Global untuk November… Halo dan selamat datang kembali di Citizen Tech, Ringkasan kebijakan bulanan dari InformationWeek. Bulan ini kami melihat pelaporan insiden dunia maya untuk bank, kekurangan chip semikonduktor, pertempuran Uni Eropa dengan…
Penyerang Menargetkan Log4J untuk Menjatuhkan… Aktor ancaman, termasuk setidaknya satu aktor negara-bangsa, mencoba mengeksploitasi kelemahan Log4j yang baru diungkapkan untuk menyebarkan ransomware, Trojan akses jarak jauh, dan shell Web pada sistem yang rentan. Sementara itu,…
iOS 15.4—Perbarui Sekarang Peringatan Dikeluarkan… Pembaruan iOS 15.4 Apple telah dirilis, bersama dengan banyak fitur iPhone baru yang brilian. Tapi iOS 15.4 juga dilengkapi dengan peringatan untuk memperbarui sekarang, karena memperbaiki 39 masalah keamanan, beberapa…
WhiteSource menambahkan deteksi, perbaikan untuk… Bergabunglah dengan para eksekutif terkemuka hari ini secara online di Data Summit pada 9 Maret. Daftar disini. WhiteSource hari ini berkembang melampaui pengamanan penggunaan kode sumber terbuka dalam pengembangan aplikasi,…
Pelaku Ransomware telah menemukan cara licik untuk… Beranda BeritaKomputasi ) (Kredit gambar: Shutterstock) Peneliti keamanan siber telah menemukan ransomware grup, yang setelah gagal secara langsung enkripsi file korban mereka, menyalinnya ke arsip yang dilindungi kata sandi, sebelum…
AS Tidak Akan Negosiasi Sanksi dengan Rusia untuk… AS tidak akan merundingkan pengecualian sanksi terkait Ukraina terhadap Rusia untuk menyelamatkan kesepakatan nuklir Iran 2015 dan dapat mencoba mencapai kesepakatan terpisah kecuali Moskow, kata seorang pejabat senior AS, upaya…
Microsoft: Eksploitasi Log4j memperluas penambangan… 12 Desember 2021 14:33 Abstrak yang indah dari konsep ilustrasi cryptocurrency menunjukkan garis dan simbol Bitcoin di latar belakang gelap.Kredit Gambar: Getty Images Dengarkan dari CIO , CTO, dan eksekutif…
Noname Security mendapat $135 juta untuk 'secara… 15 Desember 2021 06:00 Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari 2022 ini. Belajarlah…
Serangan Rusia ke Ukraina sangat buruk bagi… Presiden Rusia Vladimir Putin pada 22 Februari memerintahkan pasukan “penjaga perdamaian” ke dua wilayah Ukraina yang diperebutkan oleh separatis yang didukung Rusia, meningkatkan kebuntuan militer yang telah mengumpulkan tenaga selama…
Peretas Nvidia Menawarkan untuk Menjual Bypass… Grup peretas yang mengklaim telah menyusup ke server Nvidia mencoba menjual beberapa data yang mencakup cara membuka kunci kartu grafis untuk penambangan Ethereum. Pada akhir Februari, raksasa semikonduktor Nvidia melaporkan…
Omicron Terdeteksi Di 16 Negara Ini Topline Kasus varian virus corona omicron yang baru-baru ini terdeteksi telah diidentifikasi di lebih dari 40 negara dan 17 negara bagian pada hari Minggu — jumlahnya “kemungkinan akan meningkat ”…
Crypto tidak menimbulkan risiko besar bagi ekonomi… Kanada adalah salah satu negara pertama yang menyetujui ETF Bitcoin dan merupakan negara terbesar keempat dalam hal tingkat hash. 2093 Total penayangan 50 Jumlah saham Cryptocurrency seperti Bitcoin (BTC) tidak…
Pengguna OpenSea Menuntut $1 Juta Karena Pencurian… Waktu Membaca: 2 menitSeorang pengguna OpenSea menggugat platform sebesar $1 juta atas hilangnya NFT Kera Bosan dua minggu lalu Timothy McKimmy kehilangan NFT-nya pada awal Februari yang dijual seharga 0,01…
Iran Menyepakati Pakta Dengan Monitor Atom, Membuka… Kami mendeteksi aktivitas yang tidak biasa dari jaringan komputer Anda Untuk melanjutkan, silakan klik kotak di bawah untuk memberi tahu kami bahwa Anda bukan robot. Baca selengkapnya
Tren dan Pemicu Keamanan Siber di tahun 2022 Pendapat yang dikemukakan oleh kontributor Entrepreneur adalah milik mereka sendiri. Tahun lalu berakhir dengan gejolak dengan ditemukannya kerentanan serius di Apache Log4j yang dapat dieksploitasi dengan sedikit usaha. Hal itu…
Apakah Rumble Membayar? Ulasan Lengkap tentang… Selamat datang di blog kami yang membahas tentang potensi penghasilan di platform Rumble. Rumble adalah platform berbagi video yang terkenal dengan program monetisasi yang menarik bagi para kreator. Dalam artikel…
SuaraSekitar Terkini Kumpulan Berita dan Informasi dari berbagai sumber yang terpercaya
