News 333 - Naga Cyber Defense

Malware Linux tersembunyi yang digunakan untuk sistem backdoor selama bertahun-tahun

April 29, 2021 by Winnie the Pooh

Malware Linux yang baru-baru ini ditemukan dengan kemampuan backdoor telah berada di luar radar selama bertahun-tahun, memungkinkan penyerang untuk memanen dan mengekstrak informasi sensitif dari perangkat yang disusupi.

Backdoor, yang dijuluki RotaJakiro oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), tetap tidak terdeteksi oleh mesin anti-malware VirusTotal, meskipun sampel pertama kali diunggah pada tahun 2018.

RotaJakiro dirancang untuk beroperasi secara sembunyi-sembunyi, mengenkripsi saluran komunikasinya menggunakan kompresi ZLIB dan enkripsi AES, XOR, ROTATE.

Itu juga melakukan yang terbaik untuk memblokir analis malware agar tidak membedahnya karena informasi sumber daya yang ditemukan dalam sampel yang ditemukan oleh sistem BotMon 360 Netlab dienkripsi menggunakan algoritma AES.

Penyerang dapat menggunakan RotaJakiro untuk mengekstrak info sistem dan data sensitif, mengelola plugin dan file, dan menjalankan berbagai plugin pada perangkat Linux 64-bit yang disusupi.

Namun, 360 Netlab belum menemukan maksud sebenarnya pembuat malware untuk alat berbahaya mereka karena kurangnya visibilitas ketika datang ke plugin yang disebarkannya pada sistem yang terinfeksi.

Sejak 2018 ketika sampel RotaJakiro pertama mendarat di VirusTotal, 360 Netlab menemukan empat sampel berbeda yang diunggah antara Mei 2018 dan Januari 2021, semuanya dengan total nol deteksi yang mengesankan.

Peneliti 360 Netlab juga menemukan tautan ke botnet Torii IoT yang pertama kali ditemukan oleh pakar malware Vesselin Bontchev dan dianalisis oleh Tim Intelijen Ancaman Avast pada September 2018.

Selengkapnya: Bleeping Computer

Peretas Passwordstate melakukan phish untuk lebih banyak korban dengan malware yang diperbarui

April 29, 2021 by Winnie the Pooh

Click Studios, perusahaan perangkat lunak di balik pengelola kata sandi perusahaan Passwordstate, memperingatkan pelanggan tentang serangan phishing yang sedang berlangsung yang menargetkan mereka dengan malware Moserpass yang diperbarui.

Minggu lalu, perusahaan memberi tahu penggunanya bahwa penyerang berhasil menyusupi mekanisme pembaruan pengelola kata sandi untuk mengirimkan malware pencuri info yang dikenal sebagai Moserpass ke sejumlah pelanggan yang belum diungkapkan antara 20 April dan 22 April.

Click Studios menerbitkan peringatan kedua pada hari Minggu, mengatakan bahwa “hanya pelanggan yang melakukan Peningkatan Di Tempat antara waktu yang disebutkan di atas yang diyakini terpengaruh dan mungkin catatan kata sandi Passwordstate mereka diambil”.

Sejak itu, Click Studios telah membantu pelanggan yang berpotensi terkena dampak melalui email, menyediakan perbaikan terbaru yang dirancang untuk membantu mereka menghapus malware dari sistem mereka.

Namun, seperti yang terungkap hari ini dalam sebuah advisory baru, email yang diterima dari Click Studios dibagikan oleh pelanggan di media sosial yang memungkinkan pelaku ancaman yang tidak dikenal untuk membuat email phishing yang cocok dengan korespondensi perusahaan dan mendorong varian Moserpass baru.

Perusahaan sekarang meminta mereka yang menerima email mencurigakan “untuk tetap waspada dan memastikan validitas email” yang mereka terima.

Selengkapnya: Bleeping Computer

Cyberspies menargetkan organisasi militer di negara Asia Tenggara dengan backdoor Nebulae baru

April 29, 2021 by Winnie the Pooh

Aktor ancaman berbahasa Mandarin telah menyebarkan backdoor baru dalam beberapa operasi spionase dunia maya yang berlangsung selama kira-kira dua tahun dan menargetkan organisasi militer dari Asia Tenggara.

Setidaknya selama satu dekade, kelompok peretas yang dikenal sebagai Naikon telah aktif memata-matai organisasi di negara-negara sekitar Laut Cina Selatan, termasuk Filipina, Malaysia, Indonesia, Singapura, dan Thailand, setidaknya selama satu dekade, sejak 2010.

Naikon kemungkinan adalah aktor ancaman yang disponsori negara yang terkait dengan China, sebagian besar dikenal karena memfokuskan upayanya pada organisasi terkenal, termasuk entitas pemerintah dan organisasi militer.

Selama serangan mereka, Naikon menyalahgunakan perangkat lunak yang sah untuk memuat malware tahap kedua yang dijuluki Nebulae kemungkinan digunakan untuk mencapai persistence, menurut penelitian yang diterbitkan oleh peneliti keamanan di Lab Intelijen Ancaman Cyber Bitdefender.

Nebulae menyediakan kemampuan tambahan yang memungkinkan penyerang mengumpulkan informasi sistem, memanipulasi file dan folder, mendownload file dari server perintah dan kontrol, dan menjalankan, mendaftar, atau menghentikan proses pada perangkat yang disusupi.

Dalam rangkaian serangan yang sama, pelaku ancaman Naikon juga mengirimkan malware tahap pertama yang dikenal sebagai RainyDay atau FoundCore yang digunakan untuk menyebarkan muatan tahap kedua dan alat yang digunakan untuk berbagai tujuan, termasuk backdoor Nebulae.

Selengkapnya: Bleeping Computer

GitHub menonaktifkan pelacakan pengguna Google FloC di situsnya

April 29, 2021 by Winnie the Pooh

Kemarin, GitHub mengumumkan peluncuran header HTTP misterius di semua situs Halaman GitHub. Halaman GitHub memungkinkan pengguna membuat situs web langsung dari dalam repositori GitHub mereka.

Dan ternyata, header ini, yang sekarang dikembalikan oleh situs GitHub, sebenarnya dimaksudkan bagi pemilik situs web untuk menyisih dari pelacakan Google FLoC.

BleepingComputer juga memperhatikan bahwa seluruh domain github.com memiliki header ini, menunjukkan GitHub tidak ingin pengunjungnya disertakan dalam “kelompok” Google FLoC saat mengunjungi halaman GitHub mana pun.

Google FLoC adalah teknologi yang lebih baru untuk menggantikan pelacakan cookie pihak ketiga tradisional yang digunakan oleh jaringan iklan dan platform analitik untuk melacak pengguna di seluruh web.

Seperti dilansir BleepingComputer sebelumnya, pemilik situs web yang tidak ingin menjadi bagian dalam FLoC dapat memblokirnya dengan menggunakan header permintaan HTTP berikut kepada pengunjung mereka:

Permissions-Policy: interest-cohort=()

Header ini memungkinkan situs untuk menyisih dari FLoC, dalam artian, kunjungan ke situs yang mengembalikan header HTTP ini akan diabaikan oleh browser web saat membuat data kelompok untuk pengguna.

Seperti yang dilihat oleh BleepingComputer, baik domain *.github.com dan situs Halaman GitHub yang dihosting di *.github.io menggunakan header HTTP ini pada saat penulisan:

Selengkapnya: Bleeping Computer

Kerentanan keamanan machine learning adalah ancaman yang berkembang terhadap web

April 29, 2021 by Winnie the Pooh

Saat sistem pembelajaran mesin (ML) menjadi pokok dalam kehidupan sehari-hari, ancaman keamanan yang ditimbulkannya akan meluas ke semua jenis aplikasi yang kita gunakan, menurut sebuah laporan baru.

Tidak seperti perangkat lunak tradisional, di mana kekurangan dalam desain dan kode sumber menyebabkan sebagian besar masalah keamanan, dalam sistem AI, kerentanan dapat muncul pada gambar, file audio, teks, dan data lain yang digunakan untuk melatih dan menjalankan model pembelajaran mesin.

Hal ini menurut para peneliti dari Adversa, start-up berbasis di Tel Aviv yang berfokus pada keamanan untuk sistem kecerdasan buatan (AI), yang menguraikan temuan terbaru mereka dalam laporan mereka, The Road to Secure and Trusted AI, bulan ini.

Menurut para peneliti di Adversa, sistem pembelajaran mesin yang memproses data visual bertanggung jawab atas sebagian besar pekerjaan pada serangan adversarial, diikuti oleh analitik, pemrosesan bahasa, dan otonomi.

Pengembang web yang mengintegrasikan model pembelajaran mesin ke dalam aplikasi mereka harus memperhatikan masalah keamanan ini, Alex Polyakov memperingatkan, salah satu pendiri dan CEO Adversa.

Polyakov juga memperingatkan tentang kerentanan dalam model pembelajaran mesin yang disajikan melalui web seperti layanan API yang disediakan oleh perusahaan teknologi besar.

Selengkapnya: Daily Swig

Pemilik GPU Nvidia diperingatkan tentang bug driver yang serius – perbarui sekarang!

April 28, 2021 by Winnie the Pooh

Bagi siapa pun yang memiliki GPU Nvidia, pabrikan kartu grafis merekomendasikan semua orang untuk segera memperbarui driver mereka. Bug ini memengaruhi GPU konsumen dan pelanggan perusahaan.

Bug pertama yang perlu Anda waspadai adalah CVE-2021-1074. Ini dapat memungkinkan penyerang jahat mengganti konten aplikasi dengan file yang disusupi. Bug kedua, CVE-2021-1075, merinci masalah dengan lapisan mode kernel. Bug ini dapat membocorkan informasi sistem, memungkinkan penyerang untuk mengeksekusi kode atau mengunci Anda dari komputer Anda sendiri.

Bug CVE-2021-1076 dan 1077 keduanya memiliki kerentanan di lapisan model kernel.

Bug terakhir diberi peringkat sebagai yang paling parah, tetapi CVE-2021-1078 dapat menyebabkan komputer Anda macet jika kerentanan diserang di driver kernel nvlddmkm.sys.

Kebanyakan orang kemungkinan besar akan memiliki driver grafis yang up-to-date, karena performa game terbaik biasanya ditemukan di driver yang lebih baru, terutama untuk game baru. Namun jika Anda tetap menggunakan driver lama karena alasan tertentu, misalnya kompatibilitas, Anda mungkin ingin mempertimbangkan untuk memperbarui jika bisa.

Selengkapnya: Tom’s Guide

Cellebrite Physical Analyzer tidak lagi tersedia sepenuhnya untuk iPhone setelah posting blog Signal

April 28, 2021 by Winnie the Pooh

Cellebrite Physical Analyzer – alat peretas telepon paling mengganggu yang ditawarkan oleh perusahaan – tidak lagi mendukung iPhone sepenuhnya, menurut dokumen yang dibagikan kepada 9to5mac.

Perusahaan telah berhenti menawarkan penyelaman mendalam ini ke data yang disimpan di iPhone setelah penemuan dan eksploitasi kerentanan oleh Signal, aplikasi perpesanan yang aman.

Signal menemukan beberapa kerentanan keamanan di perangkat lunak Cellebrite, dan dapat menemukan cara untuk menjebak iPhone agar merusak hasil pemindaian menggunakan Physical Analyzer …

Cellebrite menawarkan perangkat keras dan perangkat lunak yang dirancang untuk memungkinkan pengguna masuk ke smartphone, dan mengekstrak data dari mereka. Produk perusahaan tersebut digunakan oleh lembaga penegak hukum di seluruh dunia, termasuk mereka yang berada di beberapa negara bagian yang tidak menyenangkan yang cenderung menggunakannya untuk menindak para pembangkang politik.

Signal berhasil mendapatkan rangkaian perangkat lunak, termasuk modul Physical Analyzer, yang menawarkan penyelaman terdalam ke dalam data yang disimpan di smartphone.

Cellebrite menanggapi dengan memperbarui perangkat lunaknya untuk menutup beberapa lubang keamanan. Namun, tampaknya itu tidak dapat melindungi terhadap metode yang digunakan Signal untuk merusak perangkat lunak Physical Analyzer, karena ia memberi tahu pengguna bahwa aplikasi tidak lagi memungkinkan iPhone untuk dianalisis menggunakan modul paling mengganggu yang tersedia.

Selengkapnya: 9to5mac

Peretasan Cellebrite Signal Sudah Menyebabkan Duka bagi Hukum

April 28, 2021 by Winnie the Pooh

Seorang pengacara pembela Maryland telah memutuskan untuk menantang keyakinan salah satu kliennya setelah baru-baru ini ditemukan bahwa produk pembobol telepon yang digunakan dalam kasus ini, yang diproduksi oleh perusahaan forensik digital Cellebrite, memiliki kelemahan keamanan siber yang parah yang dapat membuatnya rentan terhadap peretasan.

Ramon Rozas, yang telah membuka praktek hukum selama 25 tahun, mengatakan kepada Gizmodo bahwa dia terpaksa mengejar uji coba baru setelah membaca posting blog yang dibagikan secara luas yang ditulis oleh CEO aplikasi obrolan enkripsi Signal, Moxie Marlinspike.

Mengingat fakta bahwa perangkat lunak ekstraksi Cellebrite digunakan oleh lembaga penegak hukum di seluruh dunia, secara alami muncul pertanyaan tentang integritas investigasi yang menggunakan teknologi tersebut untuk mengamankan keyakinan.

Bagi Rozas, kekhawatiran berpusat pada fakta bahwa “bukti Cellebrite sangat diandalkan” untuk menghukum kliennya, yang didakwa terkait dengan perampokan bersenjata.

“Cellebrite telah ada selama beberapa waktu, tetapi saya merasa jaksa dan petugas polisi menjadi jauh lebih nyaman dengannya,” kata Rozas kepada Gizmodo melalui telepon.

Sebelumnya, ekstraksi data hanya digunakan pada jenis kasus tertentu — biasanya pornografi anak atau, terkadang, pelanggaran narkoba. Namun, sekarang, langkah pertama polisi biasanya adalah menemukan semacam bukti yang memberatkan di ponsel tersangka, katanya, terlepas dari jenis kasusnya.

Penggunaan alat-alat semacam itu secara luas berpotensi mengkhawatirkan, mengingat salah satu klaim yang lebih asing yang dibuat di blog Marlinspike: bahwa aplikasi yang rusak pada ponsel yang ditargetkan pada dasarnya dapat menimpa data apa pun yang diekstrak oleh alat Cellebrite — pada dasarnya memungkinkan pihak luar untuk memanipulasi data pada perangkat yang disita.

Selengkapnya: Gizmodo

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings