News 187 - Naga Cyber Defense

Bug Linux baru memberikan akses root di semua distro utama

March 8, 2022 by Winnie the Pooh

Kerentanan Linux baru yang dikenal sebagai ‘Dirty Pipe’ memungkinkan pengguna lokal untuk mendapatkan hak akses root melalui eksploitasi yang tersedia untuk umum.

Peneliti keamanan Max Kellermann secara bertanggung jawab mengungkapkan kerentanan ‘Dirty Pipe’ dan menyatakan bahwa itu mempengaruhi Linux Kernel 5.8 dan versi yang lebih baru, bahkan pada perangkat Android.

Kerentanan dilacak sebagai CVE-2022-0847 dan memungkinkan pengguna yang tidak memiliki hak istimewa untuk menyuntikkan dan menimpa data dalam file read-only, termasuk proses SUID yang berjalan sebagai root.

Kellerman menyatakan bahwa kerentanan tersebut mirip dengan kerentanan Dirty COW (CVE-2016-5195) yang diperbaiki pada tahun 2016.

Sebagai bagian dari pengungkapan Dirty Pipe, Kellerman merilis eksploit proof-of-concept (PoC) yang memungkinkan pengguna lokal untuk memasukkan data mereka sendiri ke dalam file read-only yang sensitif, menghapus batasan atau memodifikasi konfigurasi untuk memberikan akses yang lebih besar.

Misalnya, peneliti keamanan Phith0n mengilustrasikan bagaimana mereka dapat menggunakan exploit untuk memodifikasi file /etc/passwd sehingga pengguna root tidak memiliki kata sandi. Setelah perubahan ini dibuat, pengguna yang tidak memiliki hak istimewa cukup menjalankan perintah ‘su root’ untuk mendapatkan akses ke akun root.

Namun, eksploitasi yang diperbarui oleh peneliti keamanan BLASTY juga dirilis secara publik hari ini yang membuatnya lebih mudah untuk mendapatkan hak akses root dengan menambal perintah /usr/bin/su untuk menjatuhkan shell root di /tmp/sh dan kemudian menjalankan skrip.

Setelah dieksekusi, pengguna mendapatkan hak akses root, seperti yang ditunjukkan oleh BleepingComputer di bawah ini di Ubuntu 20.04.3 LTS yang menjalankan kernel generik 5.13.0-27.

Kerentanan tersebut diungkapkan secara bertanggung jawab kepada berbagai pengelola Linux mulai 20 Februari 2022, termasuk tim keamanan kernel Linux dan Tim Keamanan Android.

Sementara bug telah diperbaiki di kernel Linux 5.16.11, 5.15.25, dan 5.10.102, banyak server terus menjalankan kernel usang yang membuat rilis eksploitasi ini menjadi masalah signifikan bagi administrator server.

Sumber: Bleeping Computer

Peretas mengklaim kebocoran besar Samsung, termasuk kunci enkripsi dan kode sumber

March 7, 2022 by Winnie the Pooh

Kelompok peretas Lapsus$ baru-baru ini menargetkan Nvidia, menuntut pembuat chip menghilangkan fitur di beberapa GPU yang membatasi tingkat hash saat menambang cryptocurrency Ethereum. Lapsus$ tidak berhenti di situ — sekarang Samsung berada di bawah kendali, dan kode sumber yang berharga sekali lagi dipertaruhkan.

Kebocoran baru dirinci dalam laporan dari Bleeping Computer, yang menyebut Lapsus$ sebagai “geng pemerasan” dan mengatakan kelompok itu awalnya memposting tangkapan layar kode untuk perangkat lunak Samsung, kemudian merinci apa yang telah dieksfiltrasi dari server raksasa elektronik Korea Selatan tersebut.

Info yang dicuri tampaknya mencakup informasi penting, termasuk algoritme untuk semua operasi pembukaan kunci biometrik, kode sumber untuk bootloader untuk produk Samsung yang lebih baru, dan semua kode sumber di balik proses otorisasi dan otentikasi akun Samsung.

Ini adalah pelanggaran yang buruk jika semua klaim itu benar. Data tersebut diduga tersedia untuk torrent, dengan Lapsus$ mengemasnya ke dalam file terkompresi yang totalnya hampir 190GB.

Menurut Bleeping Computer, peretasan tersebut bukanlah penculikan seperti halnya Nvidia, karena pada hari Sabtu tidak ada bukti permintaan tebusan.

Sumber: Android Police

Trojan perbankan SharkBot ditemukan di aplikasi antivirus Play Store

March 7, 2022 by Winnie the Pooh

Trojan perbankan akses jarak jauh, SharkBot, pertama kali terlihat pada Oktober 2021. Peneliti keamanan di Cleafy menemukannya dan menyimpulkan bahwa itu adalah satu-satunya, tanpa koneksi ke malware seperti TeaBot atau Xenomorph — dan memiliki beberapa fungsi yang sangat canggih dan berbahaya.

Satu, Sistem Transfer Otomatis (ATS), adalah fungsi baru di Android dan memungkinkan penyerang memindahkan uang secara otomatis dari rekening korban, tanpa perlu campur tangan manusia. Dan seperti yang ditemukan oleh peneliti keamanan TI Inggris, SharkBot yang diperbarui bersembunyi di dalam aplikasi antivirus yang tampak tidak bersalah yang masih tersedia di Google Play Store pada hari Sabtu.

Para peneliti dari NCC Group menerbitkan laporan awal pekan ini yang merinci cara kerja SharkBot dan bagaimana akhirnya melewati langkah-langkah keamanan Play Store.

Aplikasi berbahaya ini berfungsi seperti pil racun tiga lapis, dengan satu lapisan menyamar sebagai antivirus dan lapisan kedua sebagai versi SharkBot yang diperkecil yang kemudian diperbarui dengan mengunduh versi malware yang sepenuhnya berbahaya. Saat itulah ia bekerja menggunakan berbagai taktik untuk menjarah rekening bank korban.

Menurut NCC, SharkBot dapat melakukan “serangan overlay” saat mendeteksi aplikasi perbankan yang aktif. SharkBot memunculkan layar yang terlihat seperti bank yang dimaksud, bersiap untuk mendapatkan kredensial login yang Anda berikan. Malware ini bahkan dapat membajak notifikasi yang masuk dan mengirimkan pesan yang berasal dari perintah dan kontrol penyerang. Pada akhirnya, SharkBot dapat menggunakan metode ini untuk mengambil alih smartphone Android sepenuhnya.

Untungnya, aplikasi berbahaya ini belum menyebar lebih dari 1.000 unduhan — sejauh ini. Namun, jika Anda telah mengunduh “Antivirus, Super Cleaner” palsu dari Play Store, segera hapus dan pertimbangkan kemungkinan Anda perlu mereset ponsel Anda sepenuhnya.

Sumber: Android Police

GrapheneOS menghadirkan aplikasi PDF dan fotografi yang aman ke Google Play Store

March 7, 2022 by Winnie the Pooh

Seperti yang pertama kali diketahui oleh XDA, GrapheneOS merilis aplikasi bernama Secure Camera dan Secure PDF, dan ya, semuanya tentang privasi.

Secure Camera berfungsi baik dengan ponsel seperti Google Pixel dan dapat menangani berbagai tugas umum di luar fotografi seperti memindai kode QR dan kode reguler barcode. Secure Camera hanya meminta akses kamera dan mengambil langkah-langkah dengan penyimpanan dan perekaman suara yang tidak memerlukan izin lain. Ini akan meminta izin lokasi jika penandaan geografis sudah diaktifkan dan secara otomatis menghapus metadata EXIF dari foto Anda. Adapun Secure PDF, ini mengikuti dari segi keamanan dan tidak memerlukan izin khusus untuk melakukan tugasnya.

Karena mereka adalah sumber terbuka, Anda dapat melihat kode untuk Secure Camera dan Secure PDF di Github. Keduanya sudah tersedia di Google Play Store sekarang.

Sumber: Android Police

Malware sekarang menggunakan sertifikat penandatanganan kode NVIDIA yang dicuri

March 6, 2022 by Søren

Pelaku ancaman menggunakan sertifikat penandatanganan kode NVIDIA yang dicuri untuk menandatangani malware agar tampak tepercaya dan memungkinkan driver jahat dimuat di Windows.

Minggu ini, NVIDIA mengonfirmasi bahwa mereka mengalami serangan siber yang memungkinkan pelaku ancaman mencuri kredensial karyawan dan data kepemilikan.

Kelompok pemerasan, yang dikenal sebagai Lapsus$, menyatakan bahwa mereka mencuri 1TB data selama serangan dan mulai membocorkan data secara online setelah NVIDIA menolak untuk bernegosiasi dengan mereka.

Setelah Lapsus$ membocorkan sertifikat penandatanganan kode NVIDIA, peneliti keamanan dengan cepat menemukan bahwa sertifikat tersebut digunakan untuk menandatangani malware dan alat lain yang digunakan oleh pelaku ancaman.

Menurut sampel yang diunggah ke layanan pemindaian malware VirusTotal, sertifikat yang dicuri digunakan untuk menandatangani berbagai malware dan alat peretasan, seperti suar Cobalt Strike, Mimikatz, pintu belakang, dan trojan akses jarak jauh.

Misalnya, satu aktor ancaman menggunakan sertifikat untuk menandatangani trojan akses jarak jauh Quasar [VirusTotal], sementara orang lain menggunakan sertifikat untuk menandatangani driver Windows [VirusTotal].

Selengkapnya: Bleeping Computer

Peretas membocorkan 190GB dugaan data Samsung, kode sumber

March 6, 2022 by Søren

Kelompok pemerasan data Lapsus hari ini membocorkan sejumlah besar data rahasia yang mereka klaim berasal dari Samsung Electronics, perusahaan elektronik konsumen raksasa Korea Selatan.

Kebocoran terjadi kurang dari seminggu setelah Lapsus$ merilis arsip dokumen 20GB dari 1TB data yang dicuri dari desainer GPU Nvidia.

Dalam catatan yang diposting sebelumnya hari ini, geng pemerasan menggoda tentang merilis data Samsung dengan snapshot dari arahan C/C++ dalam perangkat lunak Samsung.

Tak lama setelah menggoda pengikut mereka, Lapsus$ menerbitkan deskripsi kebocoran yang akan datang, mengatakan bahwa itu berisi “kode sumber rahasia Samsung” yang berasal dari pembobolan.

Kode sumber tersebut terdiri dari: kode sumber untuk setiap Trusted Applet (TA) yang dipasang di lingkungan TrustZone Samsung yang digunakan untuk operasi sensitif (misalnya kriptografi perangkat keras, enkripsi biner, kontrol akses); algoritma untuk semua operasi buka kunci biometrik; kode sumber bootloader untuk semua perangkat Samsung terbaru; kode sumber rahasia dari Qualcomm; kode sumber untuk server aktivasi Samsung; kode sumber lengkap untuk teknologi yang digunakan untuk mengesahkan dan mengautentikasi akun Samsung, termasuk API dan layanan.

Jika detail di atas akurat, Samsung telah mengalami pelanggaran data besar yang dapat menyebabkan kerusakan besar pada perusahaan.

Lapsus$ membagi data yang bocor menjadi tiga file terkompresi yang menambah hampir 190GB dan membuatnya tersedia dalam torrent yang tampaknya sangat populer, dengan lebih dari 400 rekan berbagi konten.

Kelompok pemerasan juga mengatakan bahwa mereka akan menyebarkan lebih banyak server untuk meningkatkan kecepatan unduhan.

Selengkapnya: Bleeping Computer

Peretas mengklaim kebocoran besar Samsung, termasuk kunci enkripsi dan kode sumber

March 6, 2022 by Søren

Kebocoran baru ini dirinci dalam laporan dari Bleeping Computer, yang menyebut Lapsus$ sebagai “geng pemerasan” dan mengatakan kelompok itu awalnya memposting tangkapan layar kode untuk perangkat lunak Samsung, kemudian merinci apa yang telah dieksfiltrasi dari server raksasa elektronik Korea Selatan.

Ini adalah pelanggaran yang buruk jika semua klaim itu benar. Data tersebut diduga tersedia untuk torrent, dengan Lapsus$ mengemasnya ke dalam file terkompresi yang totalnya hampir 190GB.

Menurut Bleeping Computer, peretasan tersebut bukanlah penculikan seperti halnya Nvidia, karena pada hari Sabtu tidak ada bukti permintaan tebusan.

Ini adalah pertanyaan terbuka tentang bagaimana konsumen akan melihat peretasan ini, tetapi Anda tidak perlu memahami pemrograman atau detail seluk beluk keamanan siber untuk melihat mengapa ini bisa menjadi pukulan bagi salah satu merek elektronik global terbesar.

Samsung mungkin mengetahui nilai dolar sebenarnya dari kerusakan yang terjadi saat pasar dibuka pada hari Senin.

Selengkapnya: Android Police

Trojan perbankan TeaBot yang berbahaya menargetkan ratusan aplikasi keuangan

March 6, 2022 by Søren

Pakar keamanan siber dengan Cleafy baru-baru ini menerbitkan laporan baru tentang TeaBot yang seharusnya membuat pengguna Android waspada.

Tim menemukan bahwa ada lompatan besar dalam jumlah target TeaBot — setidaknya 400 aplikasi yang digunakan untuk perbankan, transaksi cryptocurrency, dan asuransi digital — dan malware tersebut mulai menargetkan korban di Rusia, Hong Kong, dan Amerika Serikat.

TeaBot beroperasi menggunakan “penipuan pada perangkat,” memanipulasi layanan aksesibilitas dan kemampuan streaming langsung perangkat yang terinfeksi dengan cara yang memungkinkan penyerang untuk berinteraksi dari jarak jauh dengan ponsel dan memantaunya melalui pencatatan kunci.

Salah satu inkarnasi terbarunya yang diketahui muncul melalui aplikasi kode QR di Play Store, berfungsi sebagai penetes seperti pil racun untuk malware.

Setelah diunduh, aplikasi mengeluarkan popup yang meminta Anda menginstal add-on. Meskipun itu bukan tanda bahaya, aplikasi yang tidak bersalah biasanya menginstal perangkat lunak semacam itu melalui Google Play Store, sementara yang ini mencoba menipu Anda untuk melakukan sideload.

Pengalihan seperti itu dapat menandakan kemungkinan adanya dropper trojan, dan di sini add-on berisi TeaBot.

Setelah masuk, malware mulai bekerja, mengakses izin untuk layanan aksesibilitas ponsel Anda, yang memungkinkannya menguasai layar Anda.

Kemudian dapat merekam hal-hal fatal seperti login, SMS, dan kode otentikasi dua faktor.

Jika Anda telah menginstal aplikasi ini, yang terdaftar sebagai produk “QR Barcode Scanner Bussiness [sic] LLC,” segera hapus untuk menghindari orang asing membeli siapa-tahu-apa dengan uang receh Anda (dan jujur, mungkin berpikir tentang pabrik penuh menghapus).

Selengkapnya: Android Police

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings