Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Botnet

Botnet

Botnet HEH baru dapat menghapus router dan perangkat IoT

by

Dinamakan HEH, botnet ini menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet yang memiliki port SSH (23 dan 2323) yang terbuka secara online.

Jika perangkat menggunakan kredensial SSH default atau yang mudah ditebak, botnet mendapatkan akses ke sistem, di mana ia segera mengunduh salah satu dari tujuh binary yang kemudian dapat menginstal malware HEH.

Malware HEH ini tidak mengandung fitur ofensif.

Satu-satunya fitur yang ada adalah fungsi yang menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua ini yang menjalankan daftar operasi Shell yang telah ditentukan sebelumnya yang menghapus semua partisi perangkat.

HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang diterbitkan pada 6 Oktober 2020.

Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan perangkat disengaja atau apakah itu hanya rutinitas penghancuran diri dengan kode yang buruk.

Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU berikut x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PPC.

Botnet ini masih menyebar. HEH, meskipun belum memblokir perangkat apa pun, tidak akan menjadi botnet pertama yang menghapus perangkat IoT. Dua yang pertama adalah BirckerBot dan Silex.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Botnet IoT Ttint baru tertangkap basah mengeksploitasi dua zero-day di router Tenda

by

Dinamakan Ttint, botnet ini pertama kali dirinci dalam sebuah laporan yang diterbitkan pada hari Jumat oleh Netlab, divisi keamanan jaringan dari raksasa teknologi China Qihoo 360.

Tidak hanya menginfeksi perangkat untuk melakukan serangan DDoS, tetapi juga menerapkan 12 metode akses jarak jauh yang berbeda ke router yang terinfeksi, menggunakan router sebagai proxy untuk menyampaikan lalu lintas, merusak firewall router dan pengaturan DNS, dan bahkan memberi penyerang kemampuan untuk menjalankan perintah jarak jauh pada perangkat yang terinfeksi.

Menurut laporan perusahaan, botnet tampaknya telah digunakan tahun lalu, pada November 2019, ketika Netlab mengatakan mendeteksi Ttint menyalahgunakan Tenda zero-day pertamanya untuk mengambil alih router yang rentan.

Botnet terus mengeksploitasi zero-day ini (dilacak sebagai CVE-2020-10987) hingga Juli 2020, ketika Sanjana Sarda, Analis Keamanan Junior di Penilai Keamanan Independen, menerbitkan laporan terperinci tentang kerentanan tersebut dan empat lainnya.

Tenda tidak merilis patch firmware untuk menangani temuan Sarda, tetapi operator Ttint tidak menunggu untuk mengetahui apakah vendor akan memperbaiki bugnya nanti.

Netlab mengatakan bahwa router Tenda yang menjalankan versi firmware antara AC9 hingga AC18 dianggap rentan.

Karena Ttint terlihat mengubah pengaturan DNS pada router yang terinfeksi, kemungkinan besar mengarahkan pengguna ke situs jahat, menggunakan salah satu dari router ini tidak disarankan.

Pemilik router Tenda yang ingin mengetahui apakah mereka menggunakan router yang rentan dapat menemukan informasi versi firmware di panel administrasi router.

Setelah dianalisis, Ttint dibangun di atas Mirai, keluarga malware IoT yang kodenya bocor secara online pada 2016. Sejak bocor secara online, ada banyak botnet yang merupakan cabang dari basis kode asli ini.

Setiap operator botnet mencoba berinovasi dan menambahkan sesuatu yang berbeda, tetapi Ttint tampaknya telah mengguanakan sesuatu dari masing-masing botnet untuk membangun versi Mirai yang lebih kompleks daripada sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Ada Serangan Ditujukan untuk Mengganggu Botnet Trickbot

by

Pada 22 September, seseorang mengupload file konfigurasi baru ke komputer Windows yang saat ini terinfeksi Trickbot. Penjahat yang menjalankan botnet Trickbot biasanya menggunakan file konfigurasi ini untuk menyampaikan instruksi baru ke PC mereka lainnya yang terinfeksi, seperti alamat Internet di mana sistem yang diretas harus mengunduh pembaruan baru untuk malware.

Tetapi file konfigurasi baru yang diupload pada 22 September memberi tahu semua sistem yang terinfeksi Trickbot bahwa server kontrol malware baru mereka memiliki alamat 127.0.0.1, yang merupakan alamat “localhost” yang tidak dapat dijangkau melalui Internet publik, menurut analisis oleh perusahaan intelijen dunia maya Intel 471.

“Tak lama setelah konfigurasi palsu dikeluarkan, semua pengontrol Trickbot berhenti merespons dengan benar permintaan bot,” tulis Intel 471 dalam sebuah catatan kepada pelanggannya. “Ini mungkin berarti controller pusat Trickbot terganggu. Waktu penutupan kedua peristiwa tersebut menunjukkan gangguan yang disengaja pada operasi botnet Trickbot. ”

Cuplikan teks dari salah satu pembaruan konfigurasi Trickbot palsu. Sumber: Intel 471

CEO Intel 471, Mark Arena, mengatakan pada saat ini siapa pun yang bertanggung jawab.

“Jelas, seseorang mencoba menyerang Trickbot,” kata Arena. “Bisa saja seseorang di komunitas riset keamanan, pemerintah, orang dalam yang tidak puas, atau grup kejahatan dunia maya saingan. Kami hanya tidak tahu saat ini. ”

Alex Holden adalah chief technology officer dan pendiri Hold Security, sebuah firma intelijen dunia maya yang berbasis di Milwaukee yang membantu memulihkan data yang dicuri. Holden mengatakan pada akhir September Trickbot menyimpan kata sandi dan data keuangan yang dicuri dari lebih dari 2,7 juta PC Windows.

“Pemantauan kami menemukan setidaknya satu pernyataan dari salah satu kelompok ransomware yang mengandalkan Trickbot yang mengatakan ini membuat mereka kesal, dan mereka akan menggandakan tebusan yang mereka minta dari korban,” kata Holden. “Kami belum dapat mengonfirmasi apakah mereka benar-benar menindaklanjuti hal itu, tetapi serangan ini jelas mengganggu bisnis mereka.”

Intel 471’s Arena mengatakan ini bisa menjadi bagian dari kampanye yang sedang berlangsung untuk membongkar atau merebut kendali atas botnet Trickbot. Upaya seperti itu tidak akan pernah terjadi sebelumnya. Pada tahun 2014, misalnya, lembaga penegak hukum AS dan internasional bekerja sama dengan beberapa firma keamanan dan peneliti swasta untuk mengambil alih Gameover Zeus Botnet, jenis malware yang sangat agresif dan canggih yang telah menyerang hingga 1 juta PC Windows secara global.

Botnet Emotet telah mulai menggunakan template ‘Red Dawn’ baru

by

Trojan Emotet yang telah berbulan-bulan tidak aktif telah melonjak kembali pada bulan Juli dengan kampanye spam besar-besaran baru yang menargetkan pengguna di seluruh dunia.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware Emotet digunakan dalam kampanye spam baru bertema COVID19.

Kampanye spam baru-baru ini menggunakan pesan dengan dokumen Word berbahaya, atau tautan ke sana, berpura-pura menjadi faktur, informasi pengiriman, informasi COVID-19, resume, dokumen keuangan, atau dokumen yang telah discan.

Setelah membuka dokumen, mereka akan meminta pengguna untuk ‘Mengaktifkan Konten’ untuk menjalankan makro tersemat yang berbahaya yang akan memulai proses infeksi.

Untuk mengelabui pengguna agar mengaktifkan makro, operator botnet Emotet menggunakan template dokumen yang memberi tahu mereka bahwa dokumen tersebut dibuat di iOS dan tidak dapat dilihat dengan benar kecuali tombol ‘Aktifkan Konten’ diklik.

“Pada 25 Agustus, botnet beralih ke templat baru yang oleh pakar Emotet Joseph Roosen dinamai ‘Red Dawn’ karena warna aksen merahnya.” BleepingComputer melaporkan.

Template Red Dawn menampilkan pesan “Dokumen ini dilindungi” dan memberi tahu pengguna bahwa pratinjau tidak tersedia dalam upaya untuk mengelabui mereka agar mengklik ‘Aktifkan Pengeditan’ dan ‘Aktifkan Konten’ untuk mengakses konten.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Security Affairs

Trik Baru Sebuah Bot Tua Berbahaya: Menjelajahi Metode Serangan Terbaru Qbot

by

Trojan perbankan terkenal Qbot telah menjalankan bisnisnya selama lebih dari satu dekade.

Malware, yang juga dijuluki Qakbot dan Pinkslipbot, ditemukan pada 2008 dan dikenal karena mengumpulkan data penjelajahan dan mencuri kredensial perbankan dan informasi keuangan lainnya dari para korban.

Bot ini sangat terstruktur, berlapis-lapis, dan terus dikembangkan dengan fitur-fitur baru untuk memperluas kemampuannya. ‘Trik’ baru ini berarti bahwa terlepas dari usianya, Qbot masih merupakan ancaman berbahaya bagi organisasi.

Kampanye malspam Qbot kembali pada awal Agustus, menyebar secara global dan menginfeksi target baru. Salah satu trik baru Qbot sangat berbahaya, karena setelah mesin terinfeksi, ia mengaktifkan ‘modul kolektor email’ khusus yang mengekstrak semua utas email dari klien Outlook korban, dan mengunggahnya ke server jarak jauh.

Email yang dicuri ini kemudian digunakan untuk kampanye malspam di masa mendatang. Memudahkan mereka menipu pengguna untuk mengklik lampiran yang terinfeksi karena email spam tersebut tampaknya melanjutkan percakapan email sah yang ada.

Peneliti dari Check Point telah melihat contoh utas email yang ditargetkan dan dibajak dengan subjek yang terkait dengan Covid-19, pengingat pembayaran pajak, dan perekrutan pekerjaan.

 
Baca laporan selengkapnya dari Check Point pada tautan berikut ini;
Source: Check Point Research

Emotet Mencuri Lampiran Email Anda Untuk Menghindari Deteksi Antivirus

by

Setelah lebih dari lima bulan tidak aktif, Emotet melanjutkan operasinya pada 17 Juli dan sejak itu, botnet Emotet telah mengirimkan email spam berbahaya yang disamarkan sebagai laporan pembayaran, faktur, peluang kerja dan informasi pengiriman melalui semua cluster servernya.

Menggunakan lampiran yang dicuri untuk membuat email jahatnya tampak lebih sah tentu merupakan taktik yang cerdas dan solusi keamanan email kemungkinan akan lebih sulit membedakan antara email nyata dan email spam menggunakan lampiran yang sah sebagai penyamaran.

Sekarang setelah Emotet memperbarui taktiknya untuk menghindari deteksi dan menyerang lebih banyak pengguna, organisasi dan individu harus ekstra hati-hati saat memeriksa email mereka dan menghindari membuka lampiran dari pengirim yang tidak dikenal.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Botnet Prometei Mengeksploitasi Windows SMB Untuk Menambang Cryptocurrency

by

Botnet baru telah ditemukan mengeksploitasi protokol Microsoft Windows SMB untuk bergerak secara lateral melintasi sistem sementara secara diam-diam menambang cryptocurrency.

Diberi nama Prometei, Cisco Talos menjelaskan bahwa malware ini telah beroperasi sejak Maret 2020.

Rantai infeksi Prometei dimulai dengan upaya mengkompromikan protokol Windows Server Message Block (SMB) pada suatu mesin melalui kerentanan SMB termasuk Eternal Blue. Permintaan C2 Prometei telah terdeteksi dari negara-negara termasuk AS, Brasil, Turki, Cina, dan Meksiko.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Botnet Emotet Telah Kembali

by

Botnet Emotet, yang telah tidak aktif sejak awal Februari 2020, telah muncul kembali.

Pada hari Jumat, botnet menjadi aktif kembali, mengirim spam dalam upaya untuk menginfeksi pengguna baru dengan malware menggunakan dokumen Word dan Excel yang berbahaya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet | Ars Technica | Bleeping Computer