ThreatsDay: Pembajakan Cloud Bucket, Windows LPE Chain, Penghancuran Penipuan Global + 17 Kisah Lainnya
thehackernews. com 10 Juli 2026 PT Shazfatech Digital Solution

ThreatsDay: Pembajakan Cloud Bucket, Windows LPE Chain, Penghancuran Penipuan Global + 17 Kisah Lainnya

Sebagian besar kekacauan keamanan dimulai saat admin bekerja. Sebuah tautan diklik. Sebuah alat dipercaya. Nama keranjang akan digunakan kembali. Pengaturan tetap longgar karena tidak ada yang mau menyentuhnya.

6 menit baca Tools Cyber Security 1 kali dibaca

Sumber: thehackernews. com

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Sebagian besar kekacauan keamanan dimulai saat admin bekerja.

Sebagian besar kekacauan keamanan dimulai saat admin bekerja. Sebuah tautan diklik. Sebuah alat dipercaya. Nama keranjang akan digunakan kembali. Pengaturan tetap longgar karena tidak ada yang mau menyentuhnya.

Perkakas Ransomware tumpang tindih Analisis baru terhadap operasi ransomware Interlock (alias Hive0163) telah mengidentifikasi tautan dengan TAG-124 (alias KongTuke dan Landupdate808). Pelaku ancaman diketahui menggunakan sebagian besar malware khusus, termasuk NodeSnake, Interlock RAT, pengunduh JunkFiction (alias Dormouse), Supper (alias SocksShell dan WINDYTWIST), dan kriptor JunkFiction. IBM X-Force mengatakan telah menemukan tumpang tindih yang kuat antara varian malware NodeSnake, ModeloRAT, pengunduh JunkFiction, Interlock RAT, dan malware Supper, yang menunjukkan basis kode asli bersama atau mungkin pengembang yang sama. Rhysida, sebaliknya, sering menggunakan pengunduh Endico, Broomstick (alias Oyster atau CleanUpLoader), Supper, dan Tomb cryptor (alias Textshell atau pkr_mtsi). Bukti menunjukkan hubungan dengan operator IceNova (alias Latrodectus) dan ITG23 (alias TrickBot). Versi awal JunkFiction dimulai pada Mei 2024, dengan pengunduh digunakan untuk Supper, yang kemudian menghadirkan CrossTec Remote Control, alat administrasi jarak jauh yang sah. “Fakta bahwa ModeloRAT dan NodeSnake digunakan oleh TAG-124/KongTuke, memiliki tumpang tindih dengan keluarga malware lain yang termasuk dalam toolkit Interlock dan menggunakan eksploitasi yang sama selama operasinya, mendukung teori bahwa aktivitas ini mungkin terkait,” kata IBM X-Force.

Perilaku ransomware baru Serangan Ransomware yang menyebarkan WhiteLock melibatkan komunikasi loker dengan server eksternal selama proses enkripsi dan menghentikan Layanan yang terkait dengan alat akses jarak jauh, seperti AnyDesk dan TeamViewer, untuk mencegah korban merespons dari jarak jauh. “Setelah mendaftarkan perangkat yang terinfeksi, WhiteLock memeriksa apakah AnyDesk dan TeamViewer diinstal pada perangkat korban,” kata AhnLab. “Jika alat-alat ini ada, maka Layanan terkait akan dihentikan pada tahap berikutnya. Perilaku ini ditafsirkan sebagai upaya untuk mencegah personel keamanan atau administrator mengisolasi sistem yang terinfeksi atau merespons secara real-time melalui alat akses jarak jauh.” Peserta ransomware baru lainnya adalah Prinz Eugen, yang pertama kali terdeteksi pada Mei 2026. “Enkripsi ini baru dibuat, ditulis dalam Go, dan secara teknis lebih disengaja daripada banyak sampel ransomware gelombang pertama,” kata Threatdown. “Ia melakukan enkripsi rekursif, memprioritaskan file yang baru diubah, menggunakan ChaCha20-Poly1305 dengan pemeriksaan integritas, dan tidak meninggalkan catatan tebusan pada disk.” Ransomware ini diiklankan oleh pelaku ancaman bernama ROOTBOY di forum bawah tanah, yang sebelumnya terlibat dalam penjualan data dan aktivitas pemerasan antara Juli dan November 2025. Perkembangan ini terjadi ketika pemuat malware Bumblebee, yang disebarkan melalui keracunan SEO melalui penginstal trojan untuk ManageEngine OpManager, telah dimanfaatkan oleh pelaku ancaman untuk menjatuhkan AdaptixC2, yang kemudian bertindak sebagai saluran untuk penyebaran ransomware Akira.

Kontrol eksfiltrasi cloud Amazon Web Services (AWS) menekankan perlunya strategi berlapis untuk keamanan keluar dan mencegah eksfiltrasi data. “Tanpa adanya kontrol jalan keluar, lalu lintas keluar dapat mengalir dengan bebas, dan akses tidak sah mungkin luput dari perhatian hingga audit kepatuhan, keluhan pelanggan, atau pemberitahuan insiden memaksa penemuan,” kata AWS. Risiko ini diperparah dengan sistem AI agen, yang mana pihak yang tidak berwenang dapat memanipulasi tujuan agen otonom untuk mengambil data secara diam-diam dan mencapai eksekusi kode. “Saat organisasi menerapkan agen AI dengan akses ke alat, API, dan penerjemah kode, agen ini menjadi target bernilai tinggi, dan aktivitas jaringan keluar mereka harus dibatasi dengan tingkat ketelitian yang sama seperti beban kerja lainnya,” kata AWS.

Perutean ulang data cloud Palo Alto Networks Unit 42 telah mengidentifikasi teknik pembajakan bucket yang berdampak pada penyedia layanan cloud besar. Ini telah digambarkan sebagai kelemahan arsitektur mendasar. “Seorang penyerang dapat secara diam-diam menyusupi aliran data aktif suatu organisasi dengan merutekan ulang data ke dalam keranjang penyimpanan eksternal,” kata Unit 42. "Karena nama keranjang penyimpanan bersifat unik secara global, penyerang dapat dengan mudah menghapus keranjang tersebut dan kemudian membuatnya kembali di bawah akun penyerang menggunakan nama yang sama. Oleh karena itu, hal ini menciptakan risiko namespace global. Pembajakan keranjang ini merutekan ulang log penting dan data sensitif langsung ke lingkungan penyerang." Metode serangan serupa, yang dijuluki Bucket Monopoly, dirinci oleh Aqua Security pada tahun 2024. Tidak ada bukti bahwa teknik serangan tersebut telah disalahgunakan di alam liar. Dalam beberapa minggu terakhir, Unit 42 juga telah memperingatkan bahwa: (1) konfigurasi default yang tidak aman dan hak pendaftaran yang terlalu permisif di Layanan Sertifikat Direktori Aktif (AD CS) dapat dieksploitasi untuk peningkatan hak istimewa, peniruan identitas yang tidak sah, dan persistensi; (2) Identitas Kubernetes dapat disalahgunakan bersamaan dengan permukaan serangan yang terekspos untuk meningkatkan hak istimewa dari akses awal ke infrastruktur cloud backend yang sensitif; (3) sistem AI multi-agen dapat memperkenalkan jalur baru untuk eksploitasi melalui komunikasi dan orkestrasi antar-agen melalui injeksi cepat karena ketidakmampuan model untuk secara andal membedakan antara instruksi yang ditentukan pengembang dan masukan pengguna yang merugikan, serta kurangnya cakupan kemampuan agen dan sanitasi masukan alat; (4) Mode isolasi jaringan sandbox Code Interpreter Amazon Bedrock AgentCore dapat dilewati untuk memungkinkan pengiriman dan penerimaan data dari titik akhir eksternal melalui terowongan DNS dengan memanfaatkan kurangnya penegakan token sesi; dan (5) Logika pembuatan otomatis toolkit starter AgentCore menghasilkan peran manajemen identitas dan akses (IAM) yang memberikan hak istimewa secara luas di seluruh akun AWS, alih-alih dibatasi pada sumber daya individual, secara efektif memperkenalkan apa yang disebut Mode Agen Dewa yang memungkinkan untuk meningkatkan hak istimewa dan membahayakan setiap agen AgentCore lainnya dalam akun AWS.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com