Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

CVE-2020-14386: Kerentanan Eskalasi Hak Istimewa di kernel Linux

by

Peneliti di perusahaan keamanan siber Palo Alto telah menemukan adanya kerentanan pada Linux kernel.

Dicatat sebagai CVE-2020-14386, adalah sebuah kerentanan kerusakan memori di kernel Linux. Kerentanan ini dapat digunakan untuk meningkatkan hak istimewa dari pengguna yang tidak memiliki hak menjadi pengguna root pada sistem Linux.

Masalah aritmatika yang menyebabkan kerusakan memori ini. Masalahnya terletak pada fungsi tpacket_rcv, yang terletak di (net/packet/af_packet.c).

Agar kerentanan dapat dipicu, ini memerlukan kernel untuk mengaktifkan soket AF_PACKET (CONFIG_PACKET = y) dan hak istimewa CAP_NET_RAW untuk proses pemicuan, yang dapat diperoleh dalam namespace pengguna tanpa hak jika namespace pengguna diaktifkan (CONFIG_USER_NS = y) dan dapat diakses oleh pengguna yang tidak memiliki hak istimewa.

Dan ternyata, daftar panjang batasan ini terpenuhi secara default di beberapa Linux distro, seperti Ubuntu.

Palo Alto telah merilis patch perbaikan untuk bug ini dan detail teknis yang dapat diakses pada tautan berikut:
Source: Palo Alto

Pengguna Gmail: Akan melihat peringatan keamanan baru ini, kata Google

by

Selama beberapa minggu ke depan, Google akan mulai meluncurkan notifikasi keamanan baru untuk masalah kritis yang memengaruhi akun Google individu, dengan notifikasi yang ditampilkan di aplikasi Google yang sedang digunakan.

Manfaat utamanya adalah penerima peringatan keamanan Google – yang diteruskan ke pengguna saat mendeteksi akun mereka mungkin telah diretas – tidak perlu memeriksa email atau sistem telepon untuk peringatan tersebut.

Sebaliknya, peringatan akan langsung muncul di aplikasi Google yang sedang digunakan, berpotensi mengurangi waktu yang dibutuhkan individu yang berisiko untuk mengambil tindakan dan mengamankan akun mereka.

Pengguna akan melihat ikon peringatan di sebelah avatar mereka di bilah pencarian aplikasi Gmail. Mengklik peringatan membawa mereka ke halaman ‘Peringatan keamanan kritis’ dengan tombol ‘Periksa aktivitas’ yang mengarah ke penjelasan mengapa Google mengeluarkan peringatan.

Menurut Google, peringatan keamanan dalam aplikasi baru untuk aplikasi Google “tahan terhadap spoofing”.

Google merencanakan peluncuran terbatas dalam beberapa minggu mendatang dan akan memperluas ketersediaannya awal tahun depan. Perusahaan telah mengumumkan fitur baru sebagai bagian dari kontribusinya pada bulan Kesadaran Cybersecurity Nasional yang jatuh pada bulan Oktober.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

240 lebih aplikasi Android tertangkap basah menampilkan iklan di luar konteks

by

Google telah menghapus lebih dari 240 aplikasi Android dari Play Store resmi karena menampilkan iklan di luar konteks dan melanggar kebijakan Google yang baru diperkenalkan terhadap jenis iklan yang mengganggu ini.

Iklan di luar konteks (juga dikenal sebagai iklan di luar aplikasi) adalah iklan seluler yang ditampilkan di luar penampung normal aplikasi. Mereka dapat muncul sebagai popup atau sebagai iklan layar penuh.

Iklan di luar konteks dilarang di Play Store sejak Februari tahun ini, ketika Google melarang lebih dari 600 aplikasi yang menyalahgunakan praktik ini untuk mengirim spam kepada pengguna mereka dengan iklan yang mengganggu.

Penemuan terbaru ini datang dari firma pendeteksi penipuan iklan White Ops. Dalam sebuah posting blog, perusahaan mengatakan telah menemukan cluster baru lebih dari 240+ aplikasi Android yang membombardir penggunanya dengan iklan di luar konteks – tetapi dibuat agar terlihat seperti berasal dari aplikasi lain yang lebih sah.

White Ops menamai grup ini RainbowMix dan mengatakan telah mendeteksi tanda-tanda aktivitas pertama pada awal April tahun ini.

Menurut telemetri White Ops, sebagian besar aplikasi dipasang oleh pengguna di seluruh Amerika dan Asia, dengan negara teratas adalah:

  • 20.8% – Brazil
  • 19.7% – Indonesia
  • 11.0% – Vietnam
  • 7.7% – US
  • 6.2% – Mexico
  • 5.9% – Philippines

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft memperingatkan ransomware Android yang aktif saat Anda menekan tombol Home

by

Jenis baru ransomware seluler menyalahgunakan mekanisme di balik pemberitahuan “panggilan masuk” dan tombol “Home” untuk mengunci layar pada perangkat pengguna.

Dinamakan AndroidOS/MalLocker.B, ransomware tersembunyi di dalam aplikasi Android yang ditawarkan untuk diunduh di forum online dan situs web pihak ketiga.

Sama seperti kebanyakan jenis ransomware Android, MalLocker.B tidak benar-benar mengenkripsi file korban tetapi hanya mencegah akses ke bagian telepon lainnya.

Setelah terpasang, ransomware mengambil alih layar ponsel dan mencegah pengguna menutup catatan tebusan – yang dirancang agar terlihat seperti pesan dari penegak hukum setempat yang memberi tahu pengguna bahwa mereka melakukan kejahatan dan perlu membayar denda.

Sumber: Microsoft

Ransomware ini menggunakan mekanisme dua bagian untuk menampilkan catatan tebusannya.

Bagian pertama menyalahgunakan notifikasi “panggilan”. Ini adalah fungsi yang mengaktifkan panggilan masuk untuk menunjukkan detail tentang pemanggil, dan MalLocker.B menggunakannya untuk menampilkan jendela yang mencakup seluruh area layar dengan detail tentang panggilan masuk.

Bagian kedua menyalahgunakan function “onUserLeaveHint()”. Function ini dipanggil saat pengguna ingin mendorong aplikasi ke latar belakang dan beralih ke aplikasi baru, dan terpicu saat menekan tombol seperti Home atau Recent Apps. MalLocker.B menyalahgunakan function ini untuk menampilkan catatan tebusan kembali ke latar depan dan mencegah pengguna meninggalkan catatan tebusan untuk layar utama atau aplikasi lain.

Karena MalLocker.B berisi kode yang terlalu sederhana dan keras untuk melewati ulasan Play Store, pengguna disarankan untuk menghindari menginstal aplikasi Android dari lokasi pihak ketiga seperti forum, iklan situs web, atau toko aplikasi pihak ketiga yang tidak sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Kelompok peretas ‘Bayaran’ merajalela di Timur Tengah, menurut penelitian keamanan siber

by

Dijuluki Bahamut, kelompok peretasan bayaran telah melakukan operasi ekstensif terhadap target di seluruh dunia dalam serangan multi-cabang yang telah dirinci oleh peneliti keamanan siber di BlackBerry. Kampanye tersebut tampaknya telah beroperasi setidaknya sejak 2016.

Operasi spionase ini menggunakan teknik phishing, rekayasa sosial, aplikasi jahat, malware khusus, dan serangan zero-day yang secara diam-diam menargetkan pemerintah, industri swasta, dan individu selama bertahun-tahun.

“Kecanggihan dan cakupan aktivitas berbahaya yang dapat ditautkan oleh tim kami ke Bahamut sungguh mengejutkan,” kata Eric Milam, VP operasi penelitian di BlackBerry.

Kemampuan Bahamut untuk memanfaatkan eksploitasi zero-day menempatkannya dengan beberapa operasi peretasan paling kuat.

Namun, peneliti BlackBerry mencatat bahwa penggunaan malware seringkali hanya menjadi pilihan terakhir bagi Bahamut, karena malware dapat meninggalkan bukti serangan dan bahwa kelompok tersebut lebih suka menggunakan rekayasa sosial dan serangan phishing sebagai cara utama untuk secara diam-diam membobol jaringan organisasi target dengan bantuan kredensial yang dicuri.

Dalam satu kasus, Bahamut mengambil alih domain asli untuk apa yang dulunya merupakan situs web teknologi dan keamanan informasi dan menggunakannya untuk memposting artikel tentang geopolitik, penelitian, dan berita industri, lengkap dengan profil penulis. Sementara penulis menggunakan persona palsu, mereka menggunakan gambar jurnalis asli.

Selain malware dan rekayasa sosial, Bahamut juga menggunakan aplikasi seluler berbahaya untuk pengguna iPhone dan Android. Dengan menginstal salah satu aplikasi berbahaya, pengguna memasang backdoor ke perangkat mereka yang dapat digunakan penyerang untuk memantau semua aktivitas korban, seperti kemampuan untuk membaca pesan, mendengarkan panggilan, memantau lokasi dan aktivitas spionase lainnya.

Bahamut diyakini masih berusaha untuk melakukan kampanye aktif dan sifat kelompok tentara bayaran yang berarti bahwa setiap organisasi atau individu profil tinggi berpotensi menjadi target.

BlackBerry tidak menyebut salah satu target Bahamut secara langsung, tetapi para peneliti sebelumnya telah secara terbuka mengidentifikasi aktivis hak asasi manusia Timur Tengah, pejabat militer Pakistan, dan pengusaha Teluk Arab sebagai sasaran kelompok tersebut.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Reuters | ZDNet

3 cara penjahat menggunakan kecerdasan buatan dalam serangan keamanan siber

by

Tiga ahli keamanan siber menjelaskan bagaimana kecerdasan buatan dan machine learning dapat digunakan untuk menghindari pertahanan keamanan siber dan membuat pelanggaran lebih cepat dan lebih efisien selama cybersecurity summit NCSA dan Nasdaq.

Data poisoning

Elham Tabassi, kepala staf laboratorium teknologi informasi, Institut Standar dan Teknologi Nasional, mengatakan bahwa pelaku kejahatan terkadang menargetkan data yang digunakan untuk melatih model machine learning.

Data Poisoning dirancang untuk memanipulasi set data pelatihan guna mengontrol perilaku prediksi model terlatih untuk mengelabui model agar berperforma salah, seperti memberi label email spam sebagai konten yang aman.

Ada dua jenis data poisoning: Serangan yang menargetkan ketersediaan algoritme ML dan serangan yang menargetkan integritasnya. Penelitian menunjukkan bahwa 3% pelatihan data set poisoning menyebabkan penurunan akurasi sebesar 11%.

Tabassi mengatakan bahwa teknik untuk meracuni data dapat ditransfer dari satu model ke model lainnya. Tabassi juga mengatakan industri membutuhkan standar dan pedoman untuk memastikan kualitas data dan bahwa NIST sedang mengerjakan pedoman nasional untuk AI yang dapat dipercaya.

Generative Adversarial Networks

Generative Adversarial Networks (GANs) pada dasarnya adalah dua sistem AI yang diadu satu sama lain — satu yang mensimulasikan konten asli dan satu lagi yang menemukan kesalahannya. Dengan berkompetisi satu sama lain, mereka bersama-sama membuat konten yang cukup meyakinkan untuk disandingkan dengan aslinya.

Tim Bandos, kepala petugas keamanan informasi di Digital Guardian, mengatakan bahwa penyerang menggunakan GAN untuk meniru pola lalu lintas normal, untuk mengalihkan perhatian dari serangan, dan untuk menemukan serta mengekstrak data sensitif dengan cepat.

GAN juga dapat digunakan untuk memecahkan sandi, menghindari deteksi malware, dan menipu pengenalan wajah, seperti yang dijelaskan Thomas Klimek dalam makalah, “What Are They and Why We Should Be Afraid.”

Bandos mengatakan bahwa algoritma AI yang digunakan dalam keamanan siber harus sering dilatih ulang untuk mengenali metode serangan baru.

Manipulating bots

Panelis Greg Foss, ahli strategi keamanan siber senior di VMware Carbon Black, mengatakan bahwa jika algoritme AI membuat keputusan, mereka dapat dimanipulasi untuk membuat keputusan yang salah.

Foss menggambarkan serangan baru-baru ini pada sistem perdagangan cryptocurrency yang dijalankan oleh bot.

“Penyerang masuk dan menemukan bagaimana bot melakukan perdagangan mereka dan mereka menggunakan bot untuk mengelabui algoritme,” katanya. “Ini dapat diterapkan di seluruh implementasi lain.”

Foss menambahkan bahwa teknik ini bukanlah hal baru tetapi sekarang algoritma ini membuat keputusan yang lebih cerdas yang meningkatkan risiko membuat keputusan yang buruk.

Artikel selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Republic

Ransomware: Lonjakan serangan saat peretas memanfaatkan organisasi yang berada di bawah tekanan

by

Jumlah serangan ransomware telah meningkat secara signifikan selama beberapa bulan terakhir karena penjahat siber berupaya memanfaatkan kerentanan keamanan yang terbuka dengan meningkatnya pekerja jarak jauh.

Para peneliti di perusahaan keamanan siber Check Point mengatakan jumlah serangan ransomware harian di seluruh dunia telah meningkat setengahnya selama tiga bulan terakhir – dan jumlahnya hampir dua kali lipat di AS.

Bekerja dari rumah juga membuat perangkat pemantauan untuk aktivitas berbahaya lebih sulit bagi tim keamanan informasi daripada jika setiap pengguna berada di bawah satu atap, memberi peretas peluang yang lebih baik untuk menjalankan bisnis mereka tanpa diketahui.

Menyelidiki dan memulihkan jaringan setelah serangan ransomware membutuhkan waktu berminggu-minggu atau berbulan-bulan dan ketika ini digabungkan dengan karyawan yang bekerja dari jarak jauh, beberapa organisasi lebih suka menyerah pada tuntutan tebusan dan membayar ratusan ribu atau bahkan jutaan dolar dalam bitcoin untuk memulihkan jaringan secepat mungkin.

Penjahat siber juga menambahkan taktik baru untuk mendorong korban membayar – mengancam akan membocorkan informasi rahasia atau data pribadi jika pembayaran tidak diterima.

Namun, membayar penjahat siber hanya mendorong mereka untuk melanjutkan serangan ransomware pada korban lainnya.

Ransomware memangsa organisasi yang tidak mampu jika jaringan mereka dihancurkan oleh suatu serangan – yang mungkin menjadi alasan mengapa para peneliti menunjuk pada peningkatan dua kali lipat dalam jumlah serangan ransomware terhadap organisasi perawatan kesehatan selama beberapa bulan terakhir.

Namun, jauh dari mustahil untuk melindungi jaringan dari serangan ransomware. Peneliti Check Point merekomendasikan patch keamanan sebagai komponen “penting” untuk melindungi dari serangan ransomware, karena banyak yang mengeksploitasi kerentanan yang diketahui untuk mendapatkan pijakan di jaringan.

Penting juga bagi organisasi untuk terus mencadangkan data mereka, karena jika terjadi serangan ransomware atau situasi lain yang merusak file dan data, jaringan dapat dipulihkan.

Bisnis juga harus melatih pengguna tentang cara mengidentifikasi dan menghindari potensi serangan ransomware, terutama jika karyawan akan bekerja dari jarak jauh ke depannya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

PoetRAT Muncul Kembali dalam Serangan di Azerbaijan Di Tengah Meningkatnya Konflik

by

Iterasi baru dari spyware PoetRAT, dengan peningkatan keamanan operasional, kode yang efisiensi dan membingungkan, sedang beredar di Azerbaijan, menargetkan sektor publik dan organisasi penting lainnya seiring dengan meningkatnya konflik negara dengan Armenia atas wilayah yang disengketakan.

Peneliti intelijen ancaman telah mengamati beberapa serangan baru menggunakan malware yang menunjukkan “perubahan dalam kemampuan aktor” dan “kedewasaan menuju keamanan operasional yang lebih baik,” sambil mempertahankan taktik spear-phishing untuk memikat pengguna agar mengunduh dokumen berbahaya, peneliti Cisco Talos mengungkapkan dalam sebuah posting blog, hari Selasa kemarin.

PoetRAT muncul pada bulan April sebagai backdoor yang bertindak sebagai ujung tombak untuk kerangka spionase yang lebih besar.

Kali ini, serangan tersebut menggunakan dokumen Microsoft Word yang diduga berasal dari pemerintah Azerbaijan – lengkap dengan Lambang Nasional Azerbaijan di pojok atas – untuk menginstal PoetRAT di dua file terpisah pada mesin korban, menurut peneliti Warren Mercer, Paul Rascagneres. dan Vitor Ventura.

Perbedaan antara kampanye sebelumnya dan yang terbaru termasuk perubahan dalam bahasa pemrograman yang digunakan untuk malware dari skrip Python ke Lua.

Kampanye terbaru juga menampilkan beberapa taktik baru untuk menghindari deteksi, catat para peneliti. Ini termasuk protokol eksfiltrasi baru untuk menyembunyikan aktivitas penyerang, serta “teknik obfuscation tambahan untuk menghindari deteksi berdasarkan string atau signatures,” termasuk Base64 dan algoritme kompresi LZMA, catat para peneliti.

Korban kampanye termasuk VIP Azerbaijan dan organisasi di sektor publik, dengan penyerang yang menunjukkan akses ke informasi sensitif, seperti paspor diplomatik milik beberapa warga negara.

Berita selengkapnya:
Source: Threat Post