Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Botnet

Botnet

Botnet Linux baru mengeksploitasi Log4J, menggunakan tunneling DNS untuk komunikasi

by

Botnet yang baru-baru ini ditemukan dalam pengembangan aktif menargetkan sistem Linux, mencoba menjerat mereka menjadi pasukan bot yang siap mencuri info sensitif, menginstal rootkit, membuat cangkang terbalik, dan bertindak sebagai proxy lalu lintas web.

Malware yang baru ditemukan, dijuluki B1txor20 oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), memfokuskan serangannya pada perangkat arsitektur CPU Linux ARM, X64.

Para peneliti pertama kali melihat botnet B1txor20 pada 9 Februari ketika sampel pertama terjebak oleh salah satu sistem honeypot mereka.

Secara keseluruhan, mereka menangkap total empat sampel malware, dengan backdoor, proxy SOCKS5, pengunduhan malware, pencurian data, eksekusi perintah arbitrer, dan fungsionalitas pemasangan rootkit.

Namun, yang membuat malware B1txor20 menonjol adalah penggunaan tunneling DNS untuk saluran komunikasi dengan server command-and-control (C2), teknik lama namun masih andal yang digunakan oleh pelaku ancaman untuk mengeksploitasi protokol DNS untuk melakukan tunnel malware dan data. melalui kueri DNS.

“Setelah menerima permintaan, C2 mengirimkan muatan ke sisi Bot sebagai tanggapan atas permintaan DNS. Dengan cara ini, Bot dan C2 mencapai komunikasi dengan bantuan protokol DNS.”

Peneliti 360 Netlab juga menemukan bahwa meskipun pengembang malware menyertakan serangkaian fitur yang lebih luas, tidak semuanya diaktifkan.

Informasi tambahan, termasuk indikator kompromi (IOCs) dan daftar semua instruksi C2 yang didukung, dapat ditemukan di akhir laporan 360 Netlab.

Gambar: 350 Netlab

“Sejak kerentanan Log4J terungkap, kami melihat semakin banyak malware yang muncul, Elknot, Gafgyt, Mirai semuanya terlalu familiar,” tambah peneliti 360 Netlab.

Misalnya, pada bulan Desember, mereka melihat pelaku ancaman mengeksploitasi kelemahan keamanan Log4J untuk menginfeksi perangkat Linux yang rentan dengan malware Mirai dan Muhstik Linux.

Botnet ini terlihat “merekrut” perangkat dan server IoT dan menggunakannya untuk menyebarkan penambang kripto dan melakukan serangan DDoS skala besar.

Barracuda mengkonfirmasi laporan 360 Netlan awal bulan ini, dengan mengatakan mereka melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, dengan varian botnet Mirai dimanfaatkan untuk DDoS dan cryptomining mengambil bagian terbesar.

Sumber : Bleeping Computer

Emotet Tumbuh Perlahan Tapi Pasti Sejak Kebangkitannya Di Bulan November

by

Botnet Emotet yang terkenal masih terus didistribusikan di alam liar, dan sekarang telah menginfeksi 130.000 sistem di 179 negara.

Aktivitas emotet berhenti pada 2019 saat versi utama keduanya beredar, dan malware baru kembali pada November 2021, dengan bantuan Trickbot.

Analis ancaman di lab Black Lotus telah memutuskan untuk mendalami “Epoch 3” Emotet untuk mengidentifikasi fitur baru dan memetakan pola distribusinya saat ini.

Seperti yang Anda bisa lihat di bawah, botnet Emotet mulai perlahan-lahan membuat ulang dirinya sendiri pada bulan November, melihat distribusi yang jauh lebih besar melalui kampanye phishing yang dimulai pada Januari 2022.

Sumber: Black Lotus

Kampanye Emotet baru juga menyertakan fitur seperti skema kriptografi kurva eliptik (ECC) baru yang menggantikan enkripsi RSA yang digunakan untuk perlindungan dan validasi lalu lintas jaringan.

Selain itu, pembuat malware kini telah menambahkan lebih banyak kemampuan pengumpulan info untuk profil sistem yang lebih baik, sedangkan sebelumnya, Emotet hanya akan mengirim kembali daftar proses yang berjalan.

Black Lotus melaporkan bahwa saat ini ada 200 C2 unik yang mendukung kebangkitan Emotet, dengan jumlah yang tumbuh perlahan tapi pasti. Jumlah hari aktivitas rata-rata untuk C2 saat ini adalah 29.

Sumber: Black Lotus

Seperti sebelumnya, sebagian besar infrastruktur C2 Emotet terletak di Amerika Serikat dan Jerman, diikuti oleh Prancis, Brasil, Thailand, Singapura, Indonesia, Kanada, Inggris, dan India.

Sumber: Black Lotus

Dalam hal distribusi bot, fokusnya adalah di Jepang, India, Indonesia, Thailand, Afrika Selatan, Meksiko, Amerika Serikat, China, Brasil, dan Italia.

Sumber: Black Lotus

Analis ancaman percaya bahwa alasan untuk tiga negara pertama yang menempati urutan teratas daftar ini adalah jumlah mesin Windows yang ketinggalan jaman dan dengan demikian rentan di wilayah tersebut.

Salinan Windows bajakan yang dengan sengaja memutuskan konektivitasnya ke server pembaruan Microsoft tetap rentan terhadap serangan malware seperti milik Emotet.

Selengkapnya: Bleeping Computer

Jutaan Router Serta Perangkat IoT Beresiko Saat Kode Sumber Malware Muncul di GitHub

by

Penulis sampel malware berbahaya yang menargetkan jutaan router dan perangkat Internet of Things (IoT) telah mengunggah kode sumbernya ke GitHub, artinya penjahat lain sekarang dapat menggunakannya atau dengan cepat membuat varian baru dari alat tersebut, dalam kampanye serangan mereka sendiri.

Para peneliti di AT&T Alien Labs pertama kali melihat malware tersebut November lalu dan menamakannya “BotenaGo”. Malware ini dikemas dengan eksploitasi untuk lebih dari 30 kerentanan yang berbeda dalam produk dari beberapa vendor, termasuk Linksys, D-Link, Netgear, dan ZTE.

BotenaGo dirancang untuk mengeksekusi perintah shell jarak jauh pada sistem yang terpengaruh. Vendor keamanan juga menemukan bahwa tautan muatan BotenaGo mirip dengan yang digunakan oleh operator malware botnet Mirai yang terkenal.

Untuk alasan yang tidak jelas, pembuat malware yang tidak dikenal baru-baru ini membuat kode sumber BotenaGo tersedia untuk umum melalui GitHub.

Langkah ini berpotensi menghasilkan peningkatan yang signifikan dalam varian BotenaGo karena pembuat malware lain dapat menggunakan dan mengadaptasi kode sumber untuk tujuan khusus pada kampanye serangan mereka, kata Alien Labs dalam sebuah blog minggu ini.

Malware BotenaGo hanya terdiri dari 2.891 baris kode, menjadikannya titik awal yang berpotensi baik untuk beberapa varian baru. Fakta bahwa ia hadir dengan eksploitasi untuk lebih dari 30 kerentanan di beberapa router dan perangkat IoT adalah faktor lain yang mungkin dianggap menarik oleh pembuat malware.

Selengkapnya: Dark Reading

Kampanye FluBot dan TeaBot baru Menargetkan Perangkat Android di Seluruh Dunia

by

Kampanye distribusi malware FluBot dan TeaBot baru telah terlihat, menggunakan umpan-umpan khas atau aplikasi yang dicampur terhadap pengguna Android di Australia, Jerman, Polandia, Spanyol, dan Rumania.

Topik SMS yang digunakan untuk menyebarkan malware FluBot termasuk pesan kurir palsu, “Apakah ini Anda dalam video ini?” membujuk, pembaruan browser palsu, dan pemberitahuan pesan suara palsu.

Setelah menginfeksi satu perangkat, malware menggunakan daftar kontak korban untuk mendistribusikan umpan SMS lainnya, mencapai tingkat infeksi yang lebih baik karena kepercayaan penerima pada kontak yang diketahui dan pertumbuhan yang berkelanjutan.

TeaBot adalah trojan perbankan Android yang berbeda yang ditemukan pada Januari 2021 dan memiliki jangkauan global.

Menurut para peneliti, TeaBot didistribusikan kepada korban yang tidak curiga melalui aplikasi trojanized di Google Play Store, termasuk:

  • Pembaca Kode QR – Aplikasi Pemindai – 100.000 unduhan
  • QR Scanner APK – 10.000 unduhan
  • Pemindaian Kode QR – 10.000 unduhan
  • Smart Cleaner – 1.000 unduhan
  • Weather Cast – 10.000 unduhan
  • Weather Daily – 10.000 unduhan

Tak satu pun dari aplikasi ini menampilkan fungsi berbahaya, dan semua menawarkan fitur yang dijanjikan, yang memungkinkan mereka untuk melewati proses peninjauan Google Play Store dan mencapai kolam infeksi yang lebih luas.

Selain itu, para aktor secara aktif mempromosikan aplikasi ini dengan membayar untuk muncul di Google Ads yang disajikan dalam aplikasi dan game lain.

Setelah diinstal dan dieksekusi pada perangkat korban, aplikasi memulai layanan latar belakang yang memeriksa kode negara dan berhenti jika hasilnya adalah Ukraina, Uzbekistan, Uruguay, atau Amerika Serikat.

Aplikasi ini mengambil konfigurasinya untuk semua korban lainnya dan mengambil APK dari repositori GitHub, yang berisi varian TeaBot. Pada saat yang sama, aplikasi meminta pengguna untuk mengizinkan sumber pihak ketiga untuk menginstal paket.


Antara 6 Desember 2021 dan 17 Januari 2022, analis Bitdefender telah menghitung 17 versi TeaBot yang berbeda yang menginfeksi perangkat melalui aplikasi yang terdaftar.

Kampanye TeaBot menggambarkan bahwa bahkan ketika menginstal perangkat lunak dari Google Play Store, itu tidak berarti bahwa Anda akan selalu aman.

Oleh karena itu, disarankan untuk tetap waspada dengan instalasi baru, memeriksa ulasan pengguna, memantau jaringan aplikasi dan penggunaan baterai, dan hanya memberikan izin yang tidak berisiko.

Ingat, ini bukan pertama kalinya TeaBot berhasil menyusup ke Play Store melalui aplikasi yang dicampur, dan tidak mungkin itu akan menjadi yang terakhir.

Sumber: Bleepingcomputer

TrickBot Menghancurkan Browser Peneliti untuk Memblokir Analisis Malware

by

Malware TrickBot yang terkenal telah menerima fitur baru yang membuatnya lebih menantang untuk meneliti, menganalisis, dan mendeteksi dalam varian terbaru, termasuk tab browser yang menabrak ketika mendeteksi skrip yang dipercantik.

TrickBot telah mendominasi lanskap ancaman malware sejak 2016, terus-menerus menambahkan pengoptimalan dan peningkatan sambil memfasilitasi penyebaran malware dan ransomware yang merusak.

Karena TrickBot bersifat modular, aktor ancaman dapat menyebarkan modul yang melakukan berbagai aktivitas berbahaya, termasuk serangan man-in-the-browser untuk mencuri kredensial perbankan online, mencuri basis data direktori aktif, menyebar melalui jaringan, eksfiltrasi data, dan banyak lagi.

Selain sebagai trojan perbankan, TrickBot juga digunakan untuk menyebarkan muatan lain berkat stealthiness dan efektivitasnya.

Baru-baru ini, telah dikaitkan dengan kelompok ransomware Diavol, geng ransomware Conti, dan bahkan munculnya kembali Emotet.

Para peneliti di IBM Trusteer telah menganalisis sampel terbaru untuk melihat fitur anti-analisis baru apa yang telah diperkenalkan baru-baru ini oleh penulis dan menyajikan beberapa temuan menarik dalam laporan mereka.

Para peneliti tidak menyambut

Pertama, pengembang TrickBot menggunakan berbagai obfuscation dan base64 lapisan pengkodean untuk skrip, termasuk minify, ekstraksi string dan penggantian, basis nomor dan mewakili, injeksi kode mati, dan patching monyet.

Obfuscation diharapkan di dunia malware, tetapi TrickBot memiliki banyak lapisan dan bagian yang berlebihan untuk membuat analisis lambat, rumit, dan sering menghasilkan hasil yang tidak meyakinkan.

Kedua, ketika menyuntikkan skrip berbahaya ke halaman web untuk mencuri kredensial, suntikan tidak melibatkan sumber daya lokal tetapi hanya mengandalkan server aktor. Dengan demikian, analis tidak dapat mengambil sampel dari memori mesin yang terinfeksi.

TrickBot berkomunikasi dengan server perintah dan kontrol (C2) menggunakan protokol HTTPS, yang mendukung pertukaran data terenkripsi.

Juga, permintaan injeksi termasuk parameter yang menandai sumber yang tidak diketahui, sehingga analis tidak dapat mengambil sampel dari C2 menggunakan titik akhir yang tidak terdaftar.

Dengan mengumpulkan sidik jari perangkat, operator TrickBot dapat menyuntikkan skrip khusus ke browser masing-masing korban, menargetkan bank tertentu dan membujuk sistemnya bahwa ia berinteraksi dengan pelanggan yang sebenarnya.

Akhirnya, TrickBot memiliki skrip anti-debugging dalam kode JS, yang membantu mengantisipasi ketika sedang dianalisis dan memicu kelebihan memori yang crash halaman.

TrickBot sebelumnya berusaha untuk menentukan apakah itu sedang dianalisis dengan memeriksa resolusi layar host, tetapi sekarang juga mencari tanda-tanda “mempercantik kode.”

Kode mempercantik adalah transformasi kode yang dikaburkan atau teks yang belum dipahat menjadi konten yang lebih mudah dibaca oleh mata manusia dan dengan demikian lebih mudah untuk mengidentifikasi kode yang menarik di dalamnya.

Varian terbaru dari TrickBot menggunakan ekspresi reguler untuk mendeteksi ketika salah satu skrip yang disuntikkan telah dipercantik, biasanya menunjukkan seorang peneliti keamanan menganalisisnya.

Jika kode yang dipercantik ditemukan, TrickBot sekarang crash browser untuk mencegah analisis lebih lanjut dari script disuntikkan.

TrickBot menggunakan RegEx untuk mendeteksi pengaturan yang dipercantik dan melemparkan dirinya ke dalam loop yang meningkatkan ukuran array dinamis pada setiap iterasi. Setelah beberapa putaran, memori akhirnya kelebihan beban, dan browser crash, “peneliti IBM Trusteer menjelaskan dalam posting blog baru.

Bagaimana untuk tetap aman

TrickBot biasanya tiba pada sistem target melalui email phishing yang mencakup lampiran berbahaya yang mengeksekusi makro untuk mengunduh dan menginstal malware.

Selain memperlakukan email masuk dengan hati-hati, disarankan juga untuk mengaktifkan otentikasi multi-faktor pada semua akun Anda dan secara teratur memantau log login jika memungkinkan.

Karena banyak infeksi TrickBot berakhir dengan serangan ransomware, mengikuti praktik segmentasi jaringan dan jadwal cadangan offline reguler juga penting untuk mengandung potensi ancaman.

Sumber: Bleepingcomputer

Emotet Sekarang Menggunakan Format Alamat IP Yang Tidak Konvensional untuk Menghindari Deteksi

by

Kampanye rekayasa sosial yang melibatkan penyebaran botnet malware Emotet telah diamati menggunakan format alamat IP “tidak konvensional” untuk pertama kalinya dalam upaya untuk menghindari deteksi oleh solusi keamanan.

Ini melibatkan penggunaan representasi heksadesimal dan oktal dari alamat IP yang, ketika diproses oleh sistem operasi yang mendasarinya, secara otomatis dikonversi “ke representasi quad desimal putus-putus untuk memulai permintaan dari server jarak jauh,” Analis Ancaman Trend Micro, Ian Kenefick, mengatakan dalam sebuah laporan Jumat.

Rantai infeksi, seperti serangan terkait Emotet sebelumnya, bertujuan untuk mengelabui pengguna agar mengaktifkan makro dokumen dan mengotomatisasi eksekusi malware. Dokumen ini menggunakan Excel 4.0 Macros, fitur yang telah berulang kali disalahgunakan oleh aktor jahat untuk mengirimkan malware.

Setelah diaktifkan, makro memanggil URL yang dikaburkan dengan carets, dengan host menggabungkan representasi heksadesimal dari alamat IP – “h ^ tt ^ p ^ : / ^ / 0xc12a24f5/cc.html” – untuk mengeksekusi kode aplikasi HTML (HTA) dari host jarak jauh.

Varian kedua dari serangan phishing mengikuti modus operandi yang sama, satu-satunya perbedaan adalah bahwa alamat IP sekarang dikodekan dalam format oktal – “h ^ tt ^ p ^:/^/0056.0151.0121.0114/c.html”.

“Penggunaan alamat IP heksadesimal dan oktal yang tidak konvensional dapat mengakibatkan menghindari solusi saat ini yang bergantung pada pencocokan pola,” kata Kenefick. “Teknik penghindaran seperti ini dapat dianggap sebagai bukti penyerang terus berinovasi untuk menggagalkan solusi deteksi berbasis pola.”

Perkembangan ini terjadi di tengah aktivitas Emotet yang diperbarui akhir tahun lalu setelah absen selama 10 bulan setelah operasi penegakan hukum yang terkoordinasi. Pada bulan Desember 2021, para peneliti menemukan bukti malware yang mengembangkan taktiknya untuk menjatuhkan Cobalt Strike Beacons langsung ke sistem yang dikompromikan.

Temuan ini juga muncul ketika Microsoft mengungkapkan rencana untuk menonaktifkan Makro Excel 4.0 (XLM) secara default untuk melindungi pelanggan dari ancaman keamanan. “Pengaturan ini sekarang default ke makro Excel 4.0 (XLM) dinonaktifkan di Excel (Build 16.0.14427.10000),” perusahaan mengumumkan pekan lalu.

Sumber: The Hacker News

Botnet Dark Mirai menargetkan RCE pada router TP-Link yang populer

by

Botnet yang dikenal sebagai Dark Mirai (alias MANGA) telah diamati mengeksploitasi kerentanan baru pada TP-Link TL-WR840N EU V5, router rumah murah populer yang dirilis pada tahun 2017.

Cacat dilacak sebagai CVE-2021-41653 dan disebabkan oleh variabel ‘host’ yang rentan yang dapat disalahgunakan oleh pengguna yang diautentikasi untuk menjalankan perintah pada perangkat.

TP-Link memperbaiki kekurangan tersebut dengan merilis pembaruan firmware (TL-WR840N(EU)_V5_211109) pada 12 November 2021. Namun, banyak pengguna yang belum menerapkan pembaruan keamanan.

Peneliti yang menemukan kerentanan menerbitkan eksploitasi bukti konsep (PoC) untuk RCE, yang mengarah ke aktor ancaman menggunakan kerentanan.

Menurut sebuah laporan oleh para peneliti di Fortinet, yang telah mengikuti aktivitas Dark Mirai, botnet menambahkan RCE tertentu di gudang senjatanya hanya dua minggu setelah TP-Link merilis pembaruan firmware.

Mirai mungkin hilang, tetapi kodenya telah melahirkan banyak botnet baru yang menyebabkan masalah skala besar pada perangkat yang tidak aman.

Selengkapnya: Bleeping Computer

Google Mengganggu Botnet Glupteba Besar-besaran, Menuntut Operator Rusia

by

Google mengumumkan hari ini bahwa mereka telah mengambil tindakan untuk mengganggu botnet Glupteba yang sekarang mengendalikan lebih dari 1 juta PC Windows di seluruh dunia, tumbuh oleh ribuan perangkat baru yang terinfeksi setiap hari.

Glupteba adalah malware yang mendukung blockchain dan modular yang telah menargetkan perangkat Windows di seluruh dunia setidaknya sejak 2011, termasuk AS, India, Brasil, dan negara-negara dari Asia Tenggara.

Aktor ancaman di balik strain malware ini terutama mendistribusikan muatan ke perangkat target melalui jaringan pay-per-install (PPI) dan lalu lintas yang dibeli dari sistem distribusi lalu lintas (TDS) yang disamarkan sebagai “perangkat lunak, video, atau film gratis yang dapat diunduh.”

Setelah menginfeksi host, ia dapat menambang cryptocurrency, mencuri kredensial dan cookie pengguna, dan menyebarkan proxy pada sistem Windows dan perangkat IoT, yang kemudian dijual sebagai ‘proxy perumahan’ ke penjahat dunia maya lainnya.

Sebagai bagian dari upaya bersama Google untuk mengganggu botnet, perusahaan mengambil alih infrastruktur perintah dan kontrol utama Glupteba (C2), yang menggunakan mekanisme cadangan blockchain Bitcoin untuk menambah ketahanan jika server C2 utama berhenti merespons.

“Kami percaya tindakan ini akan berdampak signifikan pada operasi Glupteba,” kata Shane Huntley dan Luca Nagy dari Google Threat Analysis Group.

“Namun, operator Glupteba kemungkinan akan mencoba untuk mendapatkan kembali kendali atas botnet menggunakan perintah cadangan dan mekanisme kontrol yang menggunakan data yang dikodekan pada blockchain Bitcoin.”

Tindakan hukum terhadap gangguan botnet

Google juga mengajukan perintah penahanan sementara dan pengaduan di Distrik Selatan New York terhadap dua terdakwa Rusia (Dmitry Starovikov dan Alexander Filippov) dan 15 orang tak dikenal lainnya.

Keluhan tersebut mengklaim bahwa 17 terdakwa adalah orang-orang yang mengoperasikan dan mengkoordinasikan serangan Glupteba dengan tujuan akhir mencuri akun pengguna dan info kartu kredit, menjual penempatan iklan dan akses proxy pada perangkat yang terinfeksi, dan menambang cryptocurrency dalam penipuan dan penyalahgunaan komputer, pelanggaran merek dagang, dan skema lainnya.

Di antara layanan online yang ditawarkan oleh operator botnet Glupteba, Google menyebutkan “menjual akses ke mesin virtual yang sarat dengan kredensial curian (jangan [.] farm), akses proxy (awmproxy), dan menjual nomor kartu kredit (extracard) untuk digunakan untuk kegiatan berbahaya lainnya seperti menayangkan iklan berbahaya dan penipuan pembayaran di Google Ads.

“Sifat blockchain yang terdesentralisasi memungkinkan botnet pulih lebih cepat dari gangguan, membuat mereka jauh lebih sulit untuk ditutup. “Kami bekerja sama dengan industri dan pemerintah saat kami memerangi perilaku semacam ini, sehingga bahkan jika Glupteba kembali, internet akan lebih terlindungi darinya.”

Pada hari Senin, Microsoft juga menyita puluhan situs berbahaya yang digunakan oleh kelompok peretasan yang berbasis di Nickel China (alias KE3CHANG, APT15, Vixen Panda, Royal APT, dan Playful Dragon) untuk menargetkan server milik organisasi pemerintah, entitas diplomatik, dan organisasi non-pemerintah (LSM) di AS dan 28 negara lain di seluruh dunia.

Sumber: Bleepingcomputer