Halaman

    Social Items

Visit WPN
Showing posts with label News. Show all posts
Showing posts with label News. Show all posts

 


Sebuah toolkit yang baru ditemukan bernama DKnife telah digunakan sejak tahun 2019 untuk membajak lalu lintas di tingkat edge-device dan menyebarkan malware dalam kampanye spionase.


Framework ini berfungsi sebagai framework post-compromise untuk pemantauan lalu lintas dan aktivitas adversary-in-the-middle (AitM). Ia dirancang untuk mencegat dan memanipulasi lalu lintas yang ditujukan untuk endpoint (komputer, perangkat seluler, IoT) di jaringan.


Para peneliti di Cisco Talos mengatakan bahwa DKnife adalah framework ELF dengan tujuh komponen berbasis Linux yang dirancang untuk Deep Packet Inspection (DPI), manipulasi lalu lintas, pengumpulan kredensial, dan pengiriman malware.


Malware ini menampilkan artefak bahasa Simplified Chinese dalam nama komponen dan komentar kode, dan secara eksplisit menargetkan layanan Tiongkok seperti penyedia email, aplikasi seluler, domain media, dan pengguna WeChat.


Peneliti Talos menilai dengan keyakinan tinggi bahwa operator DKnife adalah aktor ancaman China-nexus.


Para peneliti tidak dapat menentukan bagaimana peralatan jaringan tersebut disusupi, tetapi menemukan bahwa DKnife mengirimkan dan berinteraksi dengan backdoor ShadowPad dan DarkNimbus, keduanya terkait dengan pelaku ancaman dari Tiongkok.


DKnife terdiri dari tujuh modul, masing-masing bertanggung jawab atas aktivitas spesifik yang terkait dengan komunikasi dengan server C2, meneruskan atau mengubah lalu lintas, dan menyembunyikan asal lalu lintas berbahaya:

  • dknife.bin - bertanggung jawab atas inspeksi paket dan logika serangan, juga melaporkan status serangan, aktivitas pengguna, dan mengirimkan data yang dikumpulkan.
  • postapi.bin - komponen relay antara DKnife.bin dan server C2.
  • sslmm.bin - server proxy reverse kustom yang berasal dari HAProxy.
  • yitiji.bin - membuat antarmuka Ethernet virtual (TAP) pada router dan menjembataninya ke LAN untuk merutekan lalu lintas penyerang.
  • remote.bin - klien VPN peer-to-peer menggunakan perangkat lunak n2n VPN.
  • mmdown.bin - pengunduh dan pembaru malware untuk file APK Android.
  • dkupdate.bin - Komponen unduhan, penyebaran, dan pembaruan DKnife.


"Kemampuan utama [DKnife] meliputi penyediaan C2 pembaruan untuk backdoor, pembajakan DNS, pembajakan pembaruan aplikasi Android dan unduhan biner, penyebaran backdoor ShadowPad dan DarkNimbus, secara selektif mengganggu lalu lintas produk keamanan dan mengeksfiltrasi aktivitas pengguna ke server C2 jarak jauh," kata para peneliti dalam sebuah laporan minggu ini.


Setelah terinstal, DKnife menggunakan komponen yitiji.bin untuk membuat antarmuka TAP yang dijembatani (perangkat jaringan virtual) pada router di alamat IP pribadi 10.3.3.3. Hal ini memungkinkan pelaku ancaman untuk mencegat dan menulis ulang paket jaringan saat transit ke host yang dituju.


Dengan cara ini, DKnife dapat digunakan untuk mengirimkan file APK berbahaya ke perangkat seluler atau sistem Windows di jaringan.


Peneliti Cisco mengamati DKnife menjatuhkan backdoor ShadowPad untuk Windows yang ditandatangani dengan sertifikat perusahaan Tiongkok. Tindakan ini diikuti dengan penerapan backdoor DarkNimbus. Pada perangkat Android, backdoor dikirimkan langsung oleh DKnife.


Pada infrastruktur yang sama yang terkait dengan aktivitas framework DKnife, para peneliti juga menemukan bahwa infrastruktur tersebut menampung backdoor WizardNet, yang sebelumnya dikaitkan oleh peneliti ESET dengan framework Spellbinder AitM.


Selain pengiriman payload, DKnife juga mampu:

  • Pembajakan DNS
  • Membajak pembaruan aplikasi Android
  • Membajak biner Windows
  • Pengambilan kredensial melalui dekripsi POP3/IMAP
  • Hosting halaman phishing
  • Gangguan lalu lintas anti-virus
  • Memantau aktivitas pengguna, termasuk penggunaan aplikasi perpesanan (WeChat dan Signal), memetakan penggunaan aplikasi, konsumsi berita, aktivitas panggilan, layanan ride-hailing, dan belanja.


Aktivitas WeChat dilacak secara lebih analitis, kata Cisco Talos, dengan pemantauan DKnife untuk panggilan suara dan video, pesan teks, gambar yang dikirim dan diterima, serta artikel yang dibaca di platform.


Peristiwa aktivitas pengguna pertama-tama dirutekan secara internal di antara komponen DKnife dan kemudian dieksfiltrasi melalui permintaan HTTP POST ke titik akhir API command-and-control (C2) tertentu.


Karena DKnife berada di perangkat gateway dan melaporkan peristiwa saat paket melewatinya, DKnife memungkinkan pemantauan aktivitas pengguna dan pengumpulan data secara real time.


Hingga Januari 2026, server DKnife C2 masih aktif, kata para peneliti. Cisco Talos telah menerbitkan serangkaian Indicator of Compromise (IoC) lengkap yang terkait dengan aktivitas ini.

DKnife, Toolkit Edge-Device Berbasis Linux untuk Spionase dan Manipulasi Lalu Lintas

 


Seorang pelaku ancaman sedang membahayakan server NGINX dalam sebuah kampanye yang membajak lalu lintas pengguna dan mengalihkannya melalui infrastruktur backend penyerang.


NGINX adalah software open-source untuk manajemen lalu lintas web. Software ini menjadi perantara koneksi antara pengguna dan server dan digunakan untuk penyajian web, penyeimbangan loading, caching, dan reverse proxy.


Kampanye jahat tersebut, yang ditemukan oleh para peneliti di DataDog Security Labs, menargetkan instalasi NGINX dan panel manajemen hosting Baota yang digunakan oleh situs-situs dengan domain tingkat atas Asia (.in, .id, .pe, .bd, dan .th) serta situs pemerintah dan pendidikan (.edu dan .gov).


Penyerang memodifikasi file konfigurasi NGINX yang ada dengan memasukkan blok 'lokasi' berbahaya yang menangkap permintaan masuk pada jalur URL yang dipilih penyerang.


Mereka kemudian menulis ulang URL tersebut untuk menyertakan URL asli lengkap, dan meneruskan lalu lintas melalui arahan 'proxy_pass' ke domain yang dikendalikan penyerang.


Direktif yang disalahgunakan biasanya digunakan untuk penyeimbangan loading, memungkinkan NGINX untuk mengarahkan ulang permintaan melalui grup server backend alternatif untuk meningkatkan kinerja atau keandalan; oleh karena itu, penyalahgunaannya tidak memicu peringatan keamanan apapun.


Request header seperti Host, X-Real-IP, User-Agent, dan Referer dipertahankan untuk membuat lalu lintas tampak sah.


Serangan tersebut menggunakan toolkit skrip multi-tahap untuk melakukan injeksi konfigurasi NGINX. Toolkit ini beroperasi dalam lima tahap:

  • Tahap 1 – zx.sh: Bertindak sebagai skrip pengontrol awal, bertanggung jawab untuk mengunduh dan menjalankan tahapan selanjutnya. Ini mencakup mekanisme fallback yang mengirimkan permintaan HTTP mentah melalui TCP jika curl atau wget tidak tersedia.
  • Tahap 2 – bt.sh: Menargetkan file konfigurasi NGINX yang dikelola oleh panel Baota. Ini secara dinamis memilih templat injeksi berdasarkan nilai server_name, menimpa konfigurasi dengan aman, dan memuat ulang NGINX untuk menghindari downtime layanan.
  • Tahap 3 – 4zdh.sh: Mencantumkan lokasi konfigurasi NGINX umum seperti sites-enabled, conf.d, dan sites-available. Skrip ini menggunakan tool parsing seperti csplit dan awk untuk mencegah kerusakan konfigurasi, mendeteksi injeksi sebelumnya melalui hashing dan file pemetaan global, dan memvalidasi perubahan menggunakan nginx -t sebelum memuat ulang.
  • Tahap 4 – zdh.sh: Menggunakan pendekatan penargetan yang lebih sempit yang berfokus terutama pada /etc/nginx/sites-enabled, dengan penekanan pada domain .in dan .id. Ini mengikuti proses pengujian dan memuat ulang konfigurasi yang sama, dengan restart paksa (pkill) digunakan sebagai cadangan.
  • Tahap 5 – ok.sh: Memindai konfigurasi NGINX yang disusupi untuk membuat peta domain yang dibajak, templat injeksi, dan target proxy. Data yang dikumpulkan kemudian dieksfiltrasi ke server command-and-control (C2) di 158.94.210[.]227.


Serangan-serangan ini sulit dideteksi karena tidak mengeksploitasi kerentanan NGINX; sebaliknya, mereka menyembunyikan instruksi berbahaya dalam file konfigurasinya, yang jarang diperiksa secara teliti.


Selain itu, lalu lintas pengguna masih mencapai tujuan yang diinginkan, sering kali secara langsung, sehingga infrastruktur penyerang yang melewatinya kemungkinan besar tidak akan diketahui kecuali dilakukan pemantauan khusus.

Server NGINX Disusupi: Penyerang Diam-Diam Membajak Lalu Lintas Pengguna


Huawei baru saja meluncurkan ponsel tipis terbarunya, Mate 70 Air, yang menjadi model “Air” ketiga tahun ini—setelah iPhone dan Nubia Air dari ZTE. Tren ini menunjukkan bahwa pengaruh Apple masih lebih kuat dibandingkan Samsung dalam hal desain ponsel tipis.


Dengan ketebalan 6,6 mm, Mate 70 Air memang belum menyaingi upaya ekstrem Apple maupun Samsung, namun Huawei menebusnya dengan baterai 6.500 mAh yang sangat besar—jauh melampaui kapasitas Motorola Edge 70 yang hanya 4.800 mAh. Langkah ini meningkatkan tekanan bagi Apple dan Samsung untuk menghadirkan peningkatan daya tahan baterai di seri berikutnya.


Ukuran layar 7 inci yang sangat luas membuat Mate 70 Air tetap terasa besar di tangan, meski bodinya ramping. Huawei juga memberikan dua opsi prosesor yang agak tidak biasa: versi dengan RAM 12 GB menggunakan Kirin 9020B, sementara model 16 GB memakai Kirin 9020A—keduanya merupakan versi downclock dari Kirin 9020 standar.


Dari sisi kamera, perangkat ini dibekali tiga kamera belakang, termasuk lensa telefoto 12 megapiksel, yang cukup mengesankan untuk ponsel dengan bodi setipis ini.


Untuk saat ini, Mate 70 Air baru tersedia di Tiongkok dengan harga mulai dari ¥4.199 (sekitar Rp.9,8 juta). 

Huawei Mate 70 Air Resmi Dirilis: Ponsel Tipis 6,6 mm dengan Baterai 6.500 mAh

 


Telah ditemukan bahwa peretas menggunakan SEO poisoning dan iklan mesin pencari untuk mempromosikan installer Microsoft Teams palsu yang menginfeksi perangkat Windows dengan backdoor Oyster yang menyediakan akses awal ke jaringan perusahaan.


Malware Oyster, juga dikenal sebagai Broomstick dan CleanUpLoader,  merupakan backdoor yang pertama kali muncul pada pertengahan 2023 dan sejak itu telah dikaitkan dengan beberapa kampanye. Malware ini memberi penyerang akses jarak jauh ke perangkat yang terinfeksi, memungkinkan mereka untuk menjalankan perintah, menyebarkan payload tambahan, dan mentransfer file.


Oyster umumnya menyebar melalui kampanye malvertising yang meniru tool IT populer, seperti Putty dan WinSCP. Operasi Ransomware, seperti Rhysida, juga memanfaatkan malware tersebut untuk menembus jaringan perusahaan.


Installer Microsoft Teams palsu mendorong malware


Dalam kampanye malvertising dan SEO poisoning baru yang ditemukan oleh Blackpoint SOC, pelaku ancaman mempromosikan situs palsu yang muncul saat pengunjung menelusuri "Teams download."


Meskipun iklan dan domain tersebut tidak memalsukan domain Microsoft, keduanya mengarah ke website di teams-install[.]top yang meniru situs download Teams milik Microsoft. Mengklik tautan download akan mendownload file bernama "MSTeamsSetup.exe," nama file yang sama dengan yang digunakan oleh download resmi Microsoft.


MSTeamsSetup.exe [VirusTotal] yang berbahaya telah ditandatangani kode dengan sertifikat dari "4th State Oy" dan "NRM NETWORK RISK MANAGEMENT INC" untuk menambah legitimasi pada file tersebut.


Namun, ketika dijalankan, installer palsu menjatuhkan DLL berbahaya bernama CaptureService.dll [VirusTotal] ke dalam folder %APPDATA%\Roaming.


Agar tetap bertahan, installer membuat scheduled task bernama "CaptureService" untuk mengeksekusi DLL setiap 11 menit, memastikan backdoor tetap aktif bahkan saat reboot.


Aktivitas ini mirip dengan installer Google Chrome dan Microsoft Teams palsu sebelumnya yang mendorong Oyster, menyoroti bagaimana SEO poisoning dan malvertising tetap menjadi taktik populer untuk melanggar jaringan perusahaan.


"Aktivitas ini menyoroti penyalahgunaan SEO poisoning dan iklan berbahaya yang terus berlanjut untuk mengirimkan backdoor komoditas berkedok perangkat lunak tepercaya," kata Blackpoint.


“Sama seperti kampanye PuTTY palsu yang diamati awal tahun ini, pelaku ancaman mengeksploitasi kepercayaan pengguna pada hasil pencarian dan merek terkenal untuk mendapatkan akses awal.”


Karena admin TI adalah target populer untuk mendapatkan akses ke kredensial dengan hak istimewa tinggi, mereka disarankan hanya mendownload perangkat lunak dari domain terverifikasi dan menghindari mengklik iklan mesin pencari.

Installer Microsoft Teams Palsu Mendorong Malware Oyster Melalui Malvertising



Peretas menargetkan sistem MUSE (Multi-User System Environment), yang digunakan oleh beberapa maskapai untuk berbagi meja check-in dan posisi gerbang keberangkatan, sebagai solusi untuk memiliki infrastruktur khusus mereka sendiri.


“Menyusul serangan siber terhadap perusahaan Amerika Collins Aerospace, penyedia eksternal sistem check-in dan boarding, terjadi gangguan pada operasi check-in di beberapa bandara Eropa,” demikian pernyataan Bandara Brussels di situs webnya.


Serangan Ransomware dikonfirmasi

Badan Keamanan Siber Uni Eropa (ENISA) mengatakan kepada The Guardian dalam sebuah pernyataan pada hari Senin bahwa serangan ransomware menyebabkan gangguan tersebut.


Insiden ini berdampak pada sejumlah besar penerbangan, karena lebih dari 100 penerbangan ditunda atau dibatalkan, dan ribuan penumpang harus diproses secara manual.


Bandara Brussels mengatakan gangguan berlanjut pada hari Senin dan menyarankan penumpang untuk memeriksa status penerbangan mereka sebelum datang ke bandara.


Collins Aerospace telah berupaya memulihkan sistem sesegera mungkin di bandara yang terkena dampak.


Penegak hukum juga terlibat dalam investigasi ini, menurut juru bicara Pusat Keamanan Siber Nasional (NCSC) di Inggris.


"Kami bekerja sama dengan Collins Aerospace dan bandara-bandara Inggris yang terdampak, bersama dengan Departemen Perhubungan dan rekan-rekan penegak hukum, untuk sepenuhnya memahami dampak dari sebuah insiden," demikian pernyataan NCSC.


Badan ini mendesak semua organisasi untuk menggunakan panduan, layanan, dan alat gratis untuk meningkatkan sikap keamanan mereka dan mengurangi risiko serangan siber.

Serangan Ransomware Ganggu Sistem Check-in Bandara Eropa, Ratusan Penerbangan Terdampak

 


Meskipun tampaknya sudah dapat dipastikan bahwa akan ada iPhone lipat, kemungkinan akhir tahun depan, belum banyak informasi tentang seperti apa bentuknya. Dalam buletin Power On terbarunya, Mark Gurman mengatakan bahwa ia diberitahu bahwa tampilannya kurang lebih seperti dua iPhone Air yang disatukan.


Artinya, ponsel ini seharusnya cukup tipis, meskipun berpotensi lebih tebal daripada Pixel 10 Pro Fold (10,8 mm) dan Galaxy Z Fold7 (8,9 mm) karena iPhone Air hadir dengan ketebalan 5,6 mm. Meskipun sumber Ming-Chi Kuo menunjukkan bahwa perangkat yang dapat dilipat akan sedikit lebih tipis saat dibuka, mungkin hanya 4,5 mm. Sayangnya, Gurman juga memperkirakan iPhone yang dapat dilipat akan berharga lebih mahal daripada Pixel Fold, setidaknya mulai dari $2.000, mungkin lebih mahal.


Salah satu keuntungan mendasarkan perangkat lipat pada desain iPhone Air adalah daya tahannya. Meskipun perangkat lipat telah meningkat pesat selama bertahun-tahun, masih ada kekhawatiran tentang bagaimana perangkat tersebut tahan terhadap penyalahgunaan. Namun Gurman mengatakan iPhone lipat akan terbuat dari titanium, sama seperti Air, yang menurut JerryRigsEverything dan iFixIt cukup tangguh.


iFixIt juga memberi iPhone Air skor perbaikan yang cukup baik, yaitu tujuh. Jika iPhone lipat bisa mendekati skor perbaikan yang sama, itu akan menjadi hal yang sangat besar. Baik Pixel Fold maupun Z Fold7 mendapatkan skor perbaikan tiga, yang berarti ponsel-ponsel ini, yang jauh lebih rapuh daripada kaca persegi panjang standar, juga jauh lebih sulit diperbaiki.

Apple Siapkan iPhone Lipat Berbahan Titanium, Saingi Galaxy Z Fold7

 

Microsoft sedang menguji fitur-fitur baru File Explorer yang didukung AI yang akan memungkinkan pengguna Windows 11 untuk bekerja dengan gambar dan dokumen tanpa perlu membuka file tersebut.


Dikenal sebagai "AI actions," tindakan ini saat ini hanya dapat digunakan untuk menghapus latar belakang, menghapus objek, dan mengaburkan latar belakang pada file gambar JPG, JPEG, dan PNG.


Daftar lengkap tindakan File Explorer AI juga mencakup tool yang dirancang untuk membantu pengguna dengan mudah membalikkan pencarian gambar mereka menggunakan mesin pencarian web Bing Microsoft.


“Dengan tindakan AI di File Explorer, Anda dapat berinteraksi lebih dalam dengan file Anda dengan mengklik kanan untuk mengambil tindakan dengan cepat seperti mengedit gambar atau meringkas dokumen,” kata Amanda Langowski dan Brandon LeBlanc dari Microsoft.


“Seperti halnya Click to Do, AI actions di File Explorer memungkinkan Anda tetap mengikuti alur sambil memanfaatkan kekuatan AI untuk memanfaatkan tool pengeditan di aplikasi atau fungsi Copilot tanpa harus membuka file Anda.”


Pengguna Windows Insider dapat mencoba AI actions baru di File Explorer dengan memilih entri "AI actions" dari menu kontekstual yang muncul setelah mengklik kanan file gambar yang didukung.


Fitur AI baru ini diluncurkan untuk Windows Insider di Canary Channel yang telah menginstal Windows 11 Insider Preview Build 27938.


Windows 11 build baru ini juga memperkenalkan entri baru dalam dialog "Settings > Privacy & security > Text and image generation," yang menampilkan aplikasi pihak ketiga mana yang baru-baru ini menggunakan model AI generatif Windows dan memungkinkan pengguna untuk mengontrol aplikasi mana yang diizinkan untuk menggunakannya.


Pada bulan Mei, Microsoft juga mengumumkan AI agents baru yang membuat perubahan pengaturan pada komputer Windows Anda menjadi lebih mudah pada PC Copilot+ yang didukung Snapdragon.


Seperti yang dijelaskan perusahaan pada saat itu, pengguna dapat memanfaatkan agent ini untuk menemukan pengaturan yang ingin mereka ubah menggunakan bahasa alami dan memerintahkan mereka untuk melakukannya tanpa memerlukan keterlibatan pengguna apapun di luar perintah awal.

Microsoft Menguji Fitur AI Baru di File Explorer Windows 11



Headset Windows Mixed Reality sempat tidak berfungsi tahun lalu, setelah Microsoft tiba-tiba menghentikan platform tersebut dengan pembaruan 24H2 untuk Windows 11. Kini, teknisi Xbox di Microsoft menghidupkan kembali headset ini, berkat driver baru yang memungkinkan dukungan SteamVR.


Matthieu Bucchianeri, seorang insinyur perangkat lunak yang bekerja pada headset Microsoft Windows Mixed Reality, telah merilis “Oasis Driver for Windows Mixed Reality” gratis di Steam. Dinamakan Oasis karena itulah nama kode yang digunakan Microsoft untuk upaya Windows Mixed Reality-nya. Driver tersebut, ditemukan oleh UploadVR, memerlukan GPU Nvidia, hanya karena driver tersebut mengandalkan fitur yang “tidak ada pada driver grafis AMD dan Intel,” menurut Bucchianeri.


Driver Oasis ini tidak memerlukan aplikasi Mixed Reality Portal, dan dapat menjalankan aplikasi OpenVR dan OpenXR melalui SteamVR. “Driver menawarkan pelacakan headset dan pengontrol gerak lengkap serta saluran rendering SteamVR asli,” kata Bucchianeri.


Meskipun Microsoft seharusnya menyediakan driver jenis ini untuk memastikan headset Windows Mixed Reality tetap berguna dengan pembaruan Windows 11 terbaru, Bucchianeri — yang kini menjadi teknisi Xbox di Microsoft — telah menciptakannya secara independen dengan merekayasa balik kode Nvidia dan SteamVR. Oleh karena itu, ia tidak merilis kode sumbernya, dan driver Oasis akan tetap gratis untuk digunakan.


Jika Anda tertarik untuk mencoba driver Oasis, Anda dapat mendownloadnya dari Steam. Pastikan Anda juga mengikuti langkah-langkah quick start dalam dokumentasi driver

Insinyur Xbox menghidupkan kembali headset Windows Mixed Reality

Subscribe to: Comments (Atom)