Botnet

Malware FreakOut mengeksploitasi bug penting untuk menginfeksi host Linux

January 20, 2021 by Winnie the Pooh

Kampanye berbahaya aktif saat ini menargetkan perangkat Linux yang menjalankan perangkat lunak dengan kerentanan kritis yang mendukung perangkat penyimpanan yang terpasang ke jaringan (NAS) atau untuk mengembangkan aplikasi web dan portal.

Tujuannya adalah untuk menginfeksi mesin dengan versi rentan dari sistem operasi TerraMaster yang populer, Zend Framework (Laminas Project), atau Liferay Portal dengan malware FreakOut, yang dapat membantu menyebarkan berbagai macam serangan siber.

Peneliti keamanan di Check Point menemukan serangan FreakOut dan mengatakan bahwa perangkat Linux yang terinfeksi bergabung dengan botnet yang dapat membantu menyebarkan serangan siber lainnya.

Mereka mengatakan bahwa controller dapat menggunakan mesin yang terinfeksi untuk menambang cryptocurrency, untuk menyebar secara lateral di seluruh jaringan perusahaan, atau untuk membidik target lain sambil menyamar sebagai perusahaan yang dikompromikan.

Malware FreakOut ini baru dan dapat berfungsi untuk pemindaian port, mengumpulkan informasi, network sniffing, atau meluncurkan serangan distributed denial-of-service (DDoS).

Rantai infeksi dimulai dengan mengeksploitasi salah satu dari tiga (CVE-2021-3007, CVE-2020-7961, CVE-2020-28188) kerentanan kritis dan berlanjut dengan mengunggah skrip Python (out.py) pada mesin yang disusupi.

Penyerang mencoba menjalankan skrip menggunakan Python 2, yang berakhir masa pakainya pada tahun 2020. Check Point percaya bahwa ini adalah indikasi pelaku ancaman dengan asumsi bahwa mesin yang disusupi sudah usang dan masih menginstal Python 2.

Check Point menemukan serangan itu pada 8 Januari 2021, ketika mereka melihat skrip berbahaya sedang diunduh dari hxxp://gxbrowser[.]Net. Sejak itu para peneliti mengamati ratusan upaya untuk mengunduh kode tersebut.

Sumber: Bleeping Computer

Botnet penambangan kripto sekarang mencuri kredensial Docker dan AWS

January 9, 2021 by Winnie the Pooh

Analis dari perusahaan keamanan Trend Micro mengatakan dalam sebuah laporan hari ini bahwa mereka telah menemukan botnet malware yang mengumpulkan dan mencuri kredensial Docker dan AWS.

Para peneliti telah menghubungkan botnet ke operasi kejahatan dunia maya yang dikenal sebagai TeamTNT; grup yang pertama kali terlihat selama musim panas 2020 memasang malware penambangan cryptocurrency pada platform kontainer yang salah konfigurasi.

Laporan awal pada saat itu mengatakan bahwa TeamTNT melanggar platform kontainer dengan mencari sistem Docker yang mengekspos port API manajemen mereka secara online tanpa kata sandi.

Para peneliti mengatakan grup TeamTNT akan mengakses kontainer Docker yang terekspos, menginstal malware penambangan kripto, tetapi juga mencuri kredensial untuk server Amazon Web Services (AWS) untuk berputar ke sistem TI perusahaan lainnya untuk menginfeksi lebih banyak server dan menyebarkan lebih banyak crypto- penambang.

Pada saat itu, para peneliti mengatakan bahwa TeamTNT adalah botnet penambangan kripto pertama yang menerapkan fitur yang didedikasikan untuk mengumpulkan dan mencuri kredensial AWS.

sumber : ZDNET

Versi TrickBot baru dapat merusak firmware UEFI / BIOS

December 4, 2020 by Winnie the Pooh

Operator botnet malware TrickBot telah menambahkan kemampuan baru yang memungkinkan mereka berinteraksi dengan firmware BIOS atau UEFI komputer yang terinfeksi.

Kemampuan baru ini terlihat di dalam bagian dari modul TrickBot baru, pertama kali terlihat pada akhir Oktober, perusahaan keamanan Advanced Intelligence dan Eclypsium mengatakan dalam joint report yang diterbitkan pada 3 Desember 2020.

Modul baru ini membuat para peneliti keamanan khawatir karena fitur-fiturnya akan memungkinkan malware TrickBot untuk membangun pijakan yang lebih gigih pada sistem yang terinfeksi, pijakan yang memungkinkan malware bertahan dari penginstalan ulang OS.

Selain itu, AdvIntel dan Eclypsium mengatakan fitur modul baru dapat digunakan lebih dari sekadar persistence yang lebih baik, seperti:

Melakukan bricking perangkat dari jarak jauh pada tingkat firmware melalui koneksi jarak jauh malware yang khas.
Melewati kontrol keamanan seperti BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, kontrol perlindungan endpoint seperti A/V, EDR, dll.
Menyiapkan serangan lanjutan yang menargetkan kerentanan Intel CSME, beberapa di antaranya memerlukan akses flash SPI.
Membalikkan ACM atau pembaruan kode mikro yang menambal kerentanan CPU seperti Spectre, MDS, dll.

Kabar baiknya adalah bahwa “sejauh ini, modul TrickBot hanya memeriksa pengontrol SPI untuk memeriksa apakah perlindungan penulisan BIOS diaktifkan atau tidak, dan belum terlihat memodifikasi firmware itu sendiri,” menurut AdvIntel dan Eclypsium.

Namun, Modul ini juga dapat digunakan dalam serangan ransomware, di mana geng TrickBot sering terlibat dengan menyewakan akses ke jaringan botnya kepada kru ransomware.

Selama beberapa minggu terakhir, operasi TrickBot telah memperlihatkan banyak pembaruan, dari teknik obfuscation baru, infrastruktur perintah dan kontrol baru, dan kampanye spam baru.

Sumber: ZDNet

Router eksklusif Walmart dan lainnya yang dijual di Amazon & eBay memiliki backdoor tersembunyi untuk mengontrol perangkat

November 24, 2020 by Winnie the Pooh

Dalam kolaborasi antara CyberNews Sr. Peneliti Keamanan Informasi Mantas Sasnauskas dan peneliti James Clee dan Roni Carta, backdoor yang mencurigakan telah ditemukan di router Jetstream buatan China, dijual secara eksklusif di Walmart sebagai router wifi yang “terjangkau”.

Backdoor ini memungkinkan penyerang memiliki kemampuan untuk mengontrol tidak hanya router, tetapi juga perangkat apa pun yang terhubung ke jaringan itu dari jarak jauh.

Selain router Jetstream, tim peneliti keamanan siber juga menemukan bahwa router Wavlink berbiaya rendah, biasanya dijual di Amazon atau eBay, memiliki backdoor serupa. Router Wavlink juga berisi skrip yang memindai wifi terdekat dan memiliki kemampuan untuk terhubung ke jaringan tersebut.

Para peneliti keamanan juga menemukan bukti bahwa backdoor ini secara aktif dieksploitasi, dan ada upaya untuk menambahkan perangkat ke botnet Mirai.

Meskipun Jetstream memiliki kesepakatan eksklusif dengan Walmart, dan dijual dengan nama merek lain seperti Ematic, hanya ada sedikit informasi yang tersedia tentang perusahaan China mana yang benar-benar memproduksi produk ini. Sementara Wavlink adalah perusahaan teknologi yang berbasis di Shenzhen, Cina, di provinsi Guangdong.

Salah satu aspek paling menarik dari penelitian ini adalah penemuan backdoor mencurigakan yang diaktifkan di semua perangkat.

Router Jetstream dan Wavlink menampilkan GUI sederhana (atau antarmuka yang ramah pengguna) untuk backdoor nya yang berbeda dari antarmuka yang disajikan kepada admin router. Meskipun Wavlink memiliki instruksi di situs webnya tentang bagaimana pengguna dapat mengakses router mereka, backdoor yang ditemukan tampaknya diarahkan pada eksekusi kode jarak jauh, atau RCE.

Penelitian ini juga menemukan bahwa kredensial yang diperlukan untuk mengakses perangkat diperiksa di kode Javascript. Artinya, jika Anda akan memeriksa elemen, pada endpoint tertentu Anda dapat mengambil kata sandi root dan mengakses komputer target dari jarak jauh.

Di perangkat yang tidak memiliki sandi di Javascript, ada cadangan tidak terenkripsi yang dapat diunduh tanpa autentikasi. Cadangan ini akan memungkinkan penyerang mendapatkan kata sandi admin juga.

Tonton video di bawah ini untuk mendengar langsung dari Sasnauskas, Clee dan Carta tentang bagaimana mereka menemukan backdoor dan apa artinya bagi konsumen:

Sumber: Cyber News

Botnet secara diam-diam telah memindai internet secara massal untuk mencari file ENV yang tidak aman

November 22, 2020 by Winnie the Pooh

Beberapa pelaku ancaman telah menghabiskan dua-tiga tahun terakhir memindai internet secara massal untuk mencari file ENV yang tidak sengaja diunggah dan dibiarkan terbuka di server web.

File ENV, atau file lingkungan, adalah jenis file konfigurasi yang biasanya digunakan oleh alat pengembangan. Kerangka kerja seperti Docker, Node.js, Symfony, dan Django menggunakan file ENV untuk menyimpan variabel lingkungan, seperti token API, kata sandi, dan login database. Karena sifat data yang disimpannya, file ENV harus selalu disimpan di folder yang dilindungi.

“Saya membayangkan botnet sedang memindai file-file ini untuk menemukan kredensial tersimpan yang memungkinkan penyerang berinteraksi dengan database seperti Firebase, atau instance AWS, dll.,” Daniel Bunce, Principal Security Analyst for SecurityJoes, mengatakan kepada ZDNet. “Jika penyerang bisa mendapatkan akses ke kunci API pribadi, mereka dapat menyalahgunakan perangkat lunak,” tambah Bunce.

Pelaku ancaman yang mengidentifikasi file ENV pada akhirnya akan mengunduh file tersebut, mengekstrak kredensial sensitif apa pun, dan kemudian membobol infrastruktur backend perusahaan. Tujuan akhir dari serangan selanjutnya ini bisa apa saja mulai dari pencurian kekayaan intelektual dan rahasia bisnis, hingga serangan ransomware, atau pemasangan malware penambangan kripto yang tersembunyi.

sumber : ZDNET

Botnet KashmirBlack diyakini sebagai botnet di balik serangan siber pada WordPress, Joomla, Drupal, dan lainnya

October 27, 2020 by Winnie the Pooh

Botnet yang sangat canggih diyakini telah menginfeksi ratusan ribu situs web dengan menyerang platform sistem manajemen konten (CMS) yang mendasarinya.

Dinamakan KashmirBlack, botnet ini mulai beroperasi pada November 2019.

Peneliti keamanan dari Imperva —yang menganalisis botnet minggu lalu— mengatakan tujuan utama botnet tampaknya untuk menginfeksi situs web dan kemudian menggunakan server mereka untuk penambangan mata uang kripto, mengarahkan lalu lintas sah situs ke halaman spam, dan ke derajat yang lebih rendah, menunjukkan adanya perusakan web.

Imperva mengatakan botnet ini awalnya kecil, tetapi setelah berbulan-bulan pertumbuhan konstan, telah berkembang menjadi raksasa canggih yang mampu menyerang ribuan situs per hari.

Saat ini, KashmirBlack “dikelola oleh satu server C&C (Command and Control) dan menggunakan lebih dari 60 – kebanyakan pengganti yang tidak bersalah – server sebagai bagian dari infrastrukturnya,” kata Imperva.

KashmirBlack berkembang dengan memindai internet untuk situs-situs yang menggunakan perangkat lunak usang dan kemudian menggunakan eksploitasi untuk mengetahui kerentanan yang diketahui menginfeksi situs dan server yang mendasarinya.

Sejak November 2019, Imperva mengatakan telah melihat 16 kerentanan yang disalahgunakan oleh botnet ini.

Berdasarkan beberapa petunjuk yang ditemukan, peneliti Imperva mengatakan mereka yakin botnet itu adalah karya seorang peretas bernama Exect1337, anggota kru peretas Indonesia PhantomGhost.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft mengatakan mereka menghapus 94% dari server perintah dan kontrol TrickBot

October 21, 2020 by Winnie the Pooh

Minggu lalu, koalisi perusahaan keamanan siber yang dipimpin oleh Microsoft mengatur penghapusan global terhadap TrickBot, salah satu botnet malware dan operasi kejahatan siber terbesar saat ini.

Bahkan jika Microsoft menjatuhkan infrastruktur TrickBot dalam beberapa hari pertama, botnet tetap bertahan, dan operator TrickBot membawa server perintah dan kontrol (C&C) baru secara online dengan harapan dapat melanjutkan kejahatan siber mereka.

“Sejak kami memulai operasi hingga 18 Oktober, kami telah menghentikan 120 dari 128 server yang kami identifikasi sebagai infrastruktur Trickbot di seluruh dunia,” kata Tom Burt, CVP Keamanan dan Kepercayaan Pelanggan di Microsoft.

Burt mengatakan Microsoft menjatuhkan 62 dari 69 server asli TrickBot C&C dan 58 dari 59 server yang coba dihadirkan TrickBot online setelah penghapusan minggu lalu.

Saat ini, botnet TrickBot masih hidup, tetapi sekali lagi telah ditekan aktivitasnya. Meskipun demikian, beberapa server perintah dan kontrol masih hidup, memungkinkan operator TrickBot untuk tetap mengontrol gerombolan perangkat yang terinfeksi.

Menurut firma keamanan siber Intel 471, beberapa sisa C&C TrickBot terakhir ini berlokasi di Brasil, Kolombia, Indonesia, dan Kyrgyzstan.

Meskipun demikian, dari jauh, upaya penghapusan tampaknya tidak terlalu mengkhawatirkan operator TrickBot, karena mereka menghabiskan minggu lalu mencoba membuat korban baru dengan bantuan mitra botnet malware (Emotet).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Serangan Emotet baru menggunakan umpan Pembaruan Windows palsu

October 16, 2020 by Winnie the Pooh

Dalam lanskap keamanan siber saat ini, botnet Emotet adalah salah satu sumber malspam terbesar – istilah yang digunakan untuk mendeskripsikan email yang mengirimkan lampiran file yang mengandung malware.

Kampanye malspam ini sangat penting bagi operator Emotet. Mereka adalah basis yang menopang botnet, memberikan banyak korban baru ke mesin Emotet – operasi kejahatan siber Malware-as-a-Service (MaaS) yang disewakan ke kelompok kriminal lain.

Untuk mencegah perusahaan keamanan mengejar dan menandai email mereka sebagai “email jahat” atau “spam”, grup Emotet secara teratur mengubah cara email ini dikirim dan tampilan lampiran file.

Operator emotet mengubah baris subjek email, teks di badan email, jenis lampiran file, tetapi juga konten lampiran file, yang sama pentingnya dengan email lainnya.

Tapi minggu ini, Emotet datang dari liburan baru-baru ini dengan membawa dokumen baru.

Lampiran file yang dikirim dalam kampanye Emotet baru-baru ini memperlihatkan pesan yang mengaku dari layanan Pembaruan Windows, memberi tahu pengguna bahwa aplikasi Office perlu diperbarui. Tentu saja, ini harus dilakukan dengan mengklik tombol Enable Editing (jangan tekan).

Menurut update dari grup Cryptolaemus, sejak kemarin iming-iming Emotet ini telah di-spam dalam jumlah besar ke pengguna yang berada di seluruh dunia.

Berdasarkan laporan ini, pada beberapa host yang terinfeksi, Emotet menginstal trojan TrickBot, mengkonfirmasikan laporan ZDNet dari awal pekan ini bahwa botnet TrickBot selamat dari upaya penghapusan baru-baru ini dari Microsoft dan mitranya.

Selain itu, Emotet sering kali menggunakan teknik yang disebut pembajakan percakapan, di mana ia mencuri utas email dari host yang terinfeksi, memasukkan dirinya ke dalam utas dengan balasan palsu salah satu peserta, dan menambahkan dokumen Office yang dibuat secara khusus sebagai lampiran.

Dalam kasus ini, pelatihan dan kesadaran adalah cara terbaik untuk mencegah serangan Emotet. Pengguna yang bekerja dengan email secara teratur harus diberi tahu tentang bahaya mengaktifkan makro di dalam dokumen, fitur yang sangat jarang digunakan untuk tujuan yang sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Botnet

Cookies Settings