Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Kaspersky Mengungkapkan Backdoor yang Menargetkan Banyak Organisasi di Seluruh Dunia

by

Kaspersky telah mengungkapkan “pintu belakang yang terdeteksi dengan buruk” yang disebut SessionManager yang telah digunakan terhadap organisasi di Afrika, Asia Selatan, Eropa, dan Timur Tengah setidaknya sejak Maret 2021.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” kata Kaspersky(Buka di jendela baru). “Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain, atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

SessionManager sendiri adalah modul untuk alat web server Internet Information Services(Opens in a new window) (IIS) dari Microsoft. Kaspersky mengatakan (Buka di jendela baru) pintu belakang adalah modul IIS yang mengawasi “permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya.” Semua itu kabarnya membuat SessionManager cukup sulit untuk dideteksi.

Kaspersky mencatat bahwa SessionManager tampaknya tidak melakukan sesuatu yang berbahaya—inti dari server web adalah untuk mengawasi permintaan HTTP. Siapa pun yang tidak mengharapkan server menerima permintaan tersebut mungkin tidak menjalankan IIS. (Setidaknya tidak dalam konfigurasi yang rentan terhadap serangan semacam itu.) Perusahaan mengatakan bahwa file SessionManager juga “sering ditempatkan di lokasi yang diabaikan yang berisi banyak file sah lainnya” untuk membuat deteksi menjadi lebih sulit.

“Secara keseluruhan, 34 server dari 24 organisasi dari Eropa, Timur Tengah, Asia Selatan, dan Afrika telah disusupi oleh SessionManager,” kata Kaspersky. “Aktor ancaman yang mengoperasikan SessionManager menunjukkan minat khusus pada LSM dan entitas pemerintah, tetapi organisasi medis, perusahaan minyak, perusahaan transportasi, antara lain, telah menjadi sasaran juga.”

Berbagai faktor, termasuk percobaan penggunaan malware yang disebut OwlProxy dan organisasi yang ditargetkan dengan pintu belakang SessionManager, telah membuat Kaspersky mengaitkan setidaknya beberapa aktivitas ini ke grup yang disebut Gelsemium. Lab52 telah menerbitkan laporan (Buka di jendela baru) di OwlProxy; ESET telah menerbitkan whitepaper(Buka di jendela baru) yang menjelaskan aktivitas Gelsemium sebelumnya. Kaspersky mencatat bahwa Gelsemium mungkin bukan satu-satunya grup yang menggunakan SessionManager, jadi atribusi ini tidak pasti.

Sumber: PCMag

Microsoft Menemukan Worm Raspberry Robin di Ratusan Jaringan Windows

by

Microsoft mengatakan bahwa worm Windows yang baru-baru ini ditemukan telah ditemukan di jaringan ratusan organisasi dari berbagai sektor industri.

Malware, yang dijuluki Raspberry Robin, menyebar melalui perangkat USB yang terinfeksi, dan pertama kali terlihat pada September 2021 oleh analis intelijen Red Canary.

Perusahaan keamanan siber Sekoia juga mengamatinya menggunakan perangkat QNAP NAS sebagai server perintah dan kontrol (C2) pada awal November, sementara Microsoft mengatakan menemukan artefak berbahaya yang terkait dengan worm ini yang dibuat pada 2019.

Temuan Redmond sejalan dengan temuan tim Rekayasa Deteksi Red Canary, yang juga mendeteksi worm ini di jaringan banyak pelanggan, beberapa di antaranya di sektor teknologi dan manufaktur.

Meskipun Microsoft mengamati malware yang terhubung ke alamat di jaringan Tor, pelaku ancaman belum mengeksploitasi akses yang mereka peroleh ke jaringan korban mereka.

Ini terlepas dari kenyataan bahwa mereka dapat dengan mudah meningkatkan serangan mereka karena malware dapat melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan alat Windows yang sah.

Alur Infeksi Worm
Raspberry Robin

Menyalahgunakan alat sah Windows untuk menginfeksi perangkat baru

Seperti yang telah disebutkan, Raspberry Robin menyebar ke sistem Windows baru melalui drive USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm memunculkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya yang tersimpan di drive yang terinfeksi.

Itu menginfeksi perangkat Windows baru, berkomunikasi dengan server perintah dan kontrolnya (C2), dan mengeksekusi muatan berbahaya menggunakan beberapa utilitas Windows yang sah:

  • fodhelper (biner tepercaya untuk mengelola fitur di pengaturan Windows),
  • msiexec (command line Windows Installer component),
  • dan odbcconf (alat untuk mengkonfigurasi driver ODBC).

“Sementara msiexec.exe mengunduh dan menjalankan paket penginstal yang sah, musuh juga memanfaatkannya untuk mengirimkan malware,” jelas peneliti Red Canary.

“Raspberry Robin menggunakan msiexec.exe untuk mencoba komunikasi jaringan eksternal ke domain berbahaya untuk tujuan C2.”

Peneliti keamanan yang melihat Raspberry Robin di alam liar belum mengaitkan malware tersebut dengan kelompok ancaman dan masih bekerja untuk menemukan tujuan akhir operatornya. Namun, Microsoft telah menandai kampanye ini sebagai kampanye berisiko tinggi, mengingat penyerang dapat mengunduh dan menyebarkan malware tambahan di dalam jaringan korban dan meningkatkan hak istimewa mereka kapan saja.

Sumber: BleepingComputer

Aplikasi Penipuan Penagihan Dapat Menonaktifkan Wi-Fi Android Dan Mencegat Pesan Teks

by Leave a Comment

Pengembang malware Android meningkatkan permainan penipuan penagihan mereka dengan aplikasi yang menonaktifkan koneksi Wi-Fi, secara diam-diam berlangganan pengguna ke layanan nirkabel yang mahal, dan mencegat pesan teks, semua dalam upaya untuk mengumpulkan biaya besar dan kuat dari pengguna yang tidak curiga, kata Microsoft pada hari Jumat.

Kelas ancaman ini telah menjadi fakta kehidupan di platform Android selama bertahun-tahun. Terlepas dari kesadaran akan masalah tersebut, sedikit yang memperhatikan kalau tekniknya sama sama seperti yang digunakan malware “penipuan pulsa”. Masukkan Microsoft, yang telah menerbitkan penyelaman mendalam teknis tentang masalah ini.

Mekanisme penagihan yang disalahgunakan dalam jenis penipuan ini adalah WAP, kependekan dari protokol aplikasi nirkabel, yang menyediakan sarana untuk mengakses informasi melalui jaringan seluler. Pengguna ponsel dapat berlangganan layanan tersebut dengan mengunjungi halaman web penyedia layanan saat perangkat mereka terhubung ke layanan seluler, lalu mengklik tombol. Dalam beberapa kasus, operator akan merespons dengan mengirim SMS kata sandi satu kali (OTP) ke telepon dan meminta pengguna untuk mengirimkannya kembali untuk memverifikasi permintaan berlangganan. Prosesnya terlihat seperti ini:

Wireless Application Protocol

Tujuan dari aplikasi jahat adalah untuk berlangganan telepon yang terinfeksi ke layanan WAP ini secara otomatis, tanpa pemberitahuan atau persetujuan dari pemiliknya. Pengembang malware memiliki berbagai cara untuk memaksa ponsel menggunakan koneksi seluler meskipun terhubung ke Wi-Fi. Pada perangkat yang menjalankan Android 9 atau versi lebih lama, developer dapat memanggil metode setWifiEnabled dari kelas WifiManager. Untuk versi 10 dan di atasnya, pengembang dapat menggunakan fungsi requestNetwork dari kelas ConnectivityManager. Akhirnya, ponsel akan memuat data secara eksklusif melalui jaringan seluler, seperti yang ditunjukkan pada gambar ini:

Tampilan Mobile Data dan Wifi

Setelah telepon menggunakan jaringan seluler untuk transmisi data, aplikasi jahat diam-diam membuka browser di latar belakang, menavigasi ke halaman berlangganan WAP, dan mengklik tombol berlangganan. Mengonfirmasi langganan bisa jadi rumit karena permintaan konfirmasi dapat datang melalui protokol SMS, HTTP, atau USSD. Microsoft menjabarkan metode khusus yang dapat digunakan pengembang malware untuk melewati setiap jenis konfirmasi. Posting Microsoft kemudian menjelaskan bagaimana malware menekan pesan berkala yang mungkin dikirimkan oleh layanan berlangganan kepada pengguna untuk mengingatkan mereka tentang langganan mereka.

“Dengan berlangganan layanan premium kepada pengguna, malware ini dapat menyebabkan korban menerima tagihan tagihan seluler yang signifikan,” tulis peneliti Microsoft. “Perangkat yang terpengaruh juga memiliki peningkatan risiko karena ancaman ini berhasil menghindari deteksi dan dapat mencapai jumlah penginstalan yang tinggi sebelum satu varian akan dihapus.”

Google secara aktif melarang aplikasi dari pasar Play-nya saat mendeteksi tanda-tanda penipuan atau kejahatan, atau saat menerima laporan aplikasi berbahaya dari pihak ketiga. Meskipun Google sering kali tidak menghapus aplikasi berbahaya sampai mereka menginfeksi jutaan pengguna, aplikasi yang diunduh dari Play umumnya dianggap lebih tepercaya daripada aplikasi dari pasar pihak ketiga.

Sumber: ArsTechnica

Backdoor ‘SessionManager’ Baru Menargetkan Server Microsoft IIS di Alam Liar

by

Malware yang baru ditemukan telah digunakan di alam liar setidaknya sejak Maret 2021 ke server Microsoft Exchange pintu belakang milik berbagai entitas di seluruh dunia, dengan infeksi yang masih ada di 20 organisasi pada Juni 2022.

Dijuluki SessionManager, alat jahat menyamar sebagai modul untuk Layanan Informasi Internet (IIS), perangkat lunak server web untuk sistem Windows, setelah mengeksploitasi salah satu kelemahan ProxyLogon dalam server Exchange.

Target termasuk 24 LSM, pemerintah, militer, dan organisasi industri yang berbeda yang mencakup Afrika, Amerika Selatan, Asia, Eropa, Rusia, dan Timur Tengah. Total 34 server telah disusupi oleh varian SessionManager hingga saat ini.

Ini jauh dari pertama kalinya teknik ini diamati dalam serangan dunia nyata. Penggunaan modul IIS nakal sebagai sarana untuk mendistribusikan implan tersembunyi memiliki gema dalam pencuri kredensial Outlook yang disebut Owowa yang terungkap pada Desember 2021.

“Menjatuhkan modul IIS sebagai pintu belakang memungkinkan pelaku ancaman untuk mempertahankan akses yang persisten, tahan pembaruan, dan relatif tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan; baik itu untuk mengumpulkan email, memperbarui akses jahat lebih lanjut, atau secara sembunyi-sembunyi mengelola server yang disusupi yang dapat dimanfaatkan sebagai infrastruktur berbahaya,” kata peneliti Kaspersky, Pierre Delcher.

ProxyLogon, sejak pengungkapannya pada Maret 2021, telah menarik perhatian berulang kali dari beberapa pelaku ancaman dengan kru Gelsemium mengeksploitasi kelemahan untuk menjatuhkan SessionManager, sebuah pintu belakang yang dikodekan dalam C++ dan direkayasa untuk memproses HTTP permintaan dikirim ke server.

“Modul jahat seperti itu biasanya mengharapkan permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya,” Delcher dijelaskan.

Dikatakan sebagai “pintu belakang akses awal persisten yang ringan,” SessionManager hadir dengan kemampuan untuk membaca, menulis, dan menghapus file arbitrer; mengeksekusi binari dari server; dan membangun komunikasi dengan titik akhir lain dalam jaringan.

Malware ini selanjutnya bertindak sebagai saluran rahasia untuk melakukan pengintaian, mengumpulkan kata sandi dalam memori, dan mengirimkan alat tambahan seperti Mimikatz serta utilitas dump memori dari Avast.

Temuan ini muncul saat Badan Keamanan Siber dan Infrastruktur AS (CISA) mendesak lembaga pemerintah dan entitas sektor swasta yang menggunakan platform Exchange untuk beralih dari metode Otentikasi Dasar lama ke alternatif Otentikasi Modern sebelum dihentikan pada 1 Oktober 2022.

Sumber: The Hacker News

Server Microsoft Exchange di Seluruh Dunia Di-backdoor dengan Malware Baru

by Leave a Comment

Penyerang menggunakan malware yang baru ditemukan untuk mem-backdoor server Microsoft Exchange milik pemerintah dan organisasi militer dari Eropa, Timur Tengah, Asia, dan Afrika.

Malware, yang dijuluki SessionManager oleh peneliti keamanan di Kaspersky, yang pertama kali terlihat pada awal 2022 adalah modul kode asli berbahaya untuk perangkat lunak server web Internet Information Services (IIS) Microsoft.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” Kaspersky mengungkapkan pada hari Kamis.

“Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

Kemampuan SessionManager mencakup, di antara fitur-fitur lainnya:

  • menjatuhkan dan mengelola file arbitrer di server yang disusupi
  • eksekusi perintah jarak jauh pada perangkat pintu belakang
  • menghubungkan ke titik akhir dalam jaringan lokal korban dan memanipulasi lalu lintas jaringan

Setelah penyebaran, modul IIS yang berbahaya memungkinkan operatornya untuk mengambil kredensial dari memori sistem, mengumpulkan informasi dari jaringan korban dan perangkat yang terinfeksi, dan mengirimkan muatan tambahan (seperti pemuat reflektif Mimikatz berbasis PowerSploit, Mimikatz SSP, ProcDump, dan alat pembuangan memori Avast yang sah).

Tautan grup APT Gelsemium

Berdasarkan viktimologi serupa dan penggunaan varian pintu belakang tipe server HTTP yang disebut OwlProxy, pakar keamanan Kaspersky percaya bahwa pintu belakang SessionManager IIS dimanfaatkan dalam serangan ini oleh aktor ancaman Gelsemium sebagai bagian dari operasi spionase di seluruh dunia.

Grup peretasan ini telah aktif setidaknya sejak 2014 dan dikenal menargetkan pemerintah, produsen elektronik, dan universitas dari Asia Timur dan Timur Tengah dan sebagian besar terbang di bawah radar.
“Eksploitasi kerentanan server pertukaran telah menjadi favorit penjahat dunia maya yang ingin masuk ke infrastruktur yang ditargetkan sejak Q1 2021. SessionManager yang baru ditemukan tidak terdeteksi dengan baik selama satu tahun dan masih digunakan di alam liar,” tambah Pierre Delcher, Peneliti Keamanan Senior di GREAT Kaspersky.

Sumber: BleepingComputer

Malware Penipuan Pulsa Menonaktifkan WiFi Anda untuk Memaksa Langganan Premium

by

Microsoft memperingatkan bahwa malware penipuan pulsa adalah salah satu ancaman paling umum di Android dan berkembang dengan fitur yang memungkinkan berlangganan otomatis ke layanan premium.

Penipuan pulsa adalah bagian dari penipuan penagihan, di mana pelaku ancaman menipu korban untuk menelepon atau mengirim SMS ke nomor premium.

Perbedaannya adalah penipuan pulsa tidak bekerja melalui WiFi dan memaksa perangkat untuk terhubung ke jaringan operator seluler.

Wireless Application Protocol

Menonaktifkan koneksi WiFi

Malware dimulai dengan mengumpulkan data di negara pelanggan dan jaringan seluler, di mana Android tidak memerlukan izin dari pengguna.

Langkah kuncinya adalah menonaktifkan koneksi WiFi dan memaksa perangkat untuk menggunakan jaringan operator. Di Android 9 (API level 28) atau lebih rendah, ini dimungkinkan dengan tingkat izin perlindungan normal.

Untuk tingkat API yang lebih tinggi, ada fungsi ‘requestNetwork’ yang berada di bawah izin CHANGE_NETWORK_STATE, yang juga dilengkapi dengan tingkat perlindungan normal.

Malware penipuan pulsa kemudian menggunakan ‘NetworkCallbak’ untuk memantau status jaringan dan mendapatkan variabel ‘jenis jaringan’ untuk mengikat proses ke jaringan tertentu, sehingga memaksa perangkat untuk mengabaikan koneksi WiFi yang tersedia dan menggunakan operator seluler.

Satu-satunya cara bagi pengguna untuk menghindari ini adalah dengan menonaktifkan data seluler secara manual.

Jika operator seluler korban ada dalam daftar target, malware melanjutkan untuk mengambil daftar situs web yang menyediakan layanan premium dan mencoba berlangganan ke situs tersebut secara otomatis.

Meskipun ada beberapa skenario berlangganan, pengguna biasanya mengklik elemen HTML dan kemudian mengirim kode verifikasi ke server.

Beberapa operator menyelesaikan langganan hanya setelah memeriksa bahwa pengguna mengesahkannya melalui kode OTP yang dikirimkan melalui SMS, HTTP, atau USSD (Data Layanan Tambahan Tidak Terstruktur), dengan dua yang pertama lebih populer.

Pengembang malware memiliki subset dari tiga panggilan API yang dapat mereka gunakan untuk membungkam notifikasi SMS dari aplikasi lain:

  • cancelAllNotifications() untuk memberi tahu manajer notifikasi agar mengabaikan semua notifikasi
  • cancelNotification(String key) untuk memberi tahu manajer notifikasi agar mengabaikan satu notifikasi
  • cancelNotifications(String [] keys) untuk memberi tahu manajer notifikasi agar mengabaikan beberapa notifikasi sekaligus

Pengembang malware penipuan tol juga menerapkan mekanisme untuk menjaga perilaku jahat sebijaksana mungkin. Salah satu caranya adalah dengan menjaga agar malware tetap inert jika jaringan seluler perangkat yang terinfeksi tidak ada dalam daftar.

Metode lain adalah dengan menggunakan pemuatan kode dinamis, yang memungkinkan kode tertentu untuk memuat hanya jika kondisi tertentu terpenuhi. Ini membuat pendeteksian malware menjadi lebih sulit, terutama pada analisis statis.

Menjauhkan malware penipuan pulsa dari perangkat Anda adalah dengan memeriksa apakah sumber untuk mengunduh sumber Android Anda dapat dipercaya, seperti Google Play Store.

Selain itu, melihat izin yang diminta saat penginstalan adalah cara yang baik untuk mengurangi risiko malware merajalela di perangkat Anda serta melindungi privasi Anda.

Microsoft juga menyarankan pengguna untuk tidak mengizinkan aplikasi membaca atau mengirim SMS, akses ke pemberitahuan, atau aksesibilitas kecuali izin ini diperlukan untuk fungsi normal.

Sumber: BleepingComputer

Geng peretas masuk ke pembuat chip Silicon Valley AMD karena kata sandi pekerja yang mengerikan

by

Sebuah pembangkit tenaga listrik teknologi Silicon Valley dilaporkan menghadapi pelanggaran data, sebagian, karena penggunaan kata sandi yang mengerikan oleh karyawan seperti, eh, “kata sandi” dan “123456.”

AMD, produsen microchip yang berkantor pusat di Santa Clara, menjadi mangsa kru peretas yang semakin terkenal yang dikenal sebagai RansomHouse, menurut laporan oleh TechCrunch dan Restore Privacy.

Raksasa semikonduktor mengkonfirmasi pembobolan digital dalam sebuah pernyataan kepada media. “Pada 27 Juni, kami mengetahui bahwa organisasi penjahat dunia maya dengan nama RansomHouse mengklaim memiliki data yang dicuri dari AMD,” bunyi pernyataan yang dikirim ke SFGATE pada Kamis pagi. “Kami sedang menyelidiki klaim tersebut dan sedang melakukan kontak dengan petugas penegak hukum.”

Perusahaan tidak menjawab ketika ditanya mengapa karyawan di pabrik multinasional tidak tunduk pada aturan perlindungan kata sandi standar, seperti mengubah kata sandi secara teratur atau harus memasukkan angka dan simbol di dalam kata sandi.

“Sayang sekali itu adalah kata sandi asli yang digunakan oleh karyawan AMD, tetapi yang lebih memalukan bagi Departemen Keamanan AMD yang mendapat pembiayaan signifikan sesuai dengan dokumen yang kami dapatkan — semua berkat kata sandi ini,” sebuah catatan yang diterbitkan oleh RansomHouse berbunyi, menurut TechCrunch.

Produsen microchip Silicon Valley telah lama menjadi saingan utama Intel di pasar CPU; itu seharusnya memiliki beberapa kemiripan keamanan kata sandi mengingat perawakannya.

Christofer Hoff, seorang eksekutif di layanan pengelola kata sandi LastPass, mengatakan kepada SFGATE bahwa pelanggaran seperti ini “mudah dihindari bahkan jika aturan kebersihan dan keamanan yang paling dasar diikuti.”

Tampaknya juga lebih banyak pelanggaran ini sedang dalam proses. RansomHouse telah mendapatkan reputasi untuk menargetkan organisasi besar, membocorkan data dari salah satu pedagang grosir terbesar di Afrika dan agen pemerintah Kanada sejak akhir tahun lalu.

Sumber:

Berbagai macam router sedang diserang oleh malware baru yang luar biasa canggih

by

Sebuah kelompok peretas yang luar biasa canggih telah menghabiskan hampir dua tahun menginfeksi berbagai router di Amerika Utara dan Eropa dengan malware yang mengambil kendali penuh dari perangkat terhubung yang menjalankan Windows, macOS, dan Linux, para peneliti melaporkan pada hari Selasa.

Peneliti dari Black Lotus Labs Lumen Technologies mengatakan mereka telah mengidentifikasi setidaknya 80 target yang terinfeksi oleh malware tersembunyi, menginfeksi router yang dibuat oleh Cisco, Netgear, Asus, dan DrayTek. Dijuluki ZuoRAT, Trojan akses jarak jauh adalah bagian dari kampanye peretasan yang lebih luas yang telah ada setidaknya sejak kuartal keempat tahun 2020 dan terus beroperasi.

Penemuan malware yang dibuat khusus yang ditulis untuk arsitektur MIPS dan dikompilasi untuk router kantor kecil dan kantor rumahan adalah signifikan, terutama mengingat jangkauan kemampuannya.

Kemampuannya untuk menghitung semua perangkat yang terhubung ke router yang terinfeksi dan mengumpulkan pencarian DNS dan lalu lintas jaringan yang mereka kirim dan terima dan tetap tidak terdeteksi adalah ciri dari aktor ancaman yang sangat canggih.

Kampanye ini terdiri dari setidaknya empat bagian malware, tiga di antaranya ditulis dari awal oleh aktor ancaman. Bagian pertama adalah ZuoRAT berbasis MIPS, yang sangat mirip dengan malware Mirai Internet of Things yang mencapai serangan penolakan layanan terdistribusi yang memecahkan rekor yang melumpuhkan beberapa layanan Internet selama berhari-hari. ZuoRAT sering terinstal dengan mengeksploitasi kerentanan yang belum ditambal di perangkat SOHO.

Setelah diinstal, ZuoRAT menghitung perangkat yang terhubung ke router yang terinfeksi. Pelaku ancaman kemudian dapat menggunakan pembajakan DNS dan pembajakan HTTP untuk menyebabkan perangkat yang terhubung menginstal malware lain.

Dua dari malware tersebut—dijuluki CBeacon dan GoBeacon—dibuat khusus, dengan yang pertama ditulis untuk Windows dalam C++ dan yang terakhir ditulis dalam Go untuk kompilasi silang di perangkat Linux dan macOS. Untuk fleksibilitas, ZuoRAT juga dapat menginfeksi perangkat yang terhubung dengan alat peretas Cobalt Strike yang banyak digunakan.

ZuoRAT dapat memutar infeksi ke perangkat yang terhubung menggunakan salah satu dari dua metode:

  • Pembajakan DNS, yang menggantikan alamat IP yang valid terkait dengan domain seperti Google atau Facebook dengan yang berbahaya yang dioperasikan oleh penyerang.
  • Pembajakan HTTP, di mana malware memasukkan dirinya ke dalam koneksi untuk menghasilkan kesalahan 302 yang mengarahkan pengguna ke alamat IP yang berbeda.

Black Lotus Labs mengatakan infrastruktur komando dan kontrol yang digunakan dalam kampanye sengaja dibuat rumit dalam upaya untuk menyembunyikan apa yang terjadi. Satu set infrastruktur digunakan untuk mengontrol router yang terinfeksi, dan infrastruktur lainnya dicadangkan untuk perangkat yang terhubung jika kemudian terinfeksi.

Para peneliti mengamati router dari 23 alamat IP dengan koneksi terus-menerus ke server kontrol yang mereka yakini sedang melakukan survei awal untuk menentukan apakah target menarik.

Penemuan kampanye yang sedang berlangsung ini adalah yang paling penting yang mempengaruhi router SOHO sejak VPNFilter, malware router yang dibuat dan disebarkan oleh pemerintah Rusia yang ditemukan pada tahun 2018. Router sering diabaikan, terutama di era bekerja dari rumah. Sementara organisasi sering memiliki persyaratan ketat untuk perangkat apa yang diizinkan untuk terhubung, hanya sedikit patch mandat atau perlindungan lain untuk router perangkat.

Seperti kebanyakan malware router, ZuoRAT tidak dapat bertahan dari reboot. Cukup restart perangkat yang terinfeksi akan menghapus eksploitasi ZuoRAT awal, yang terdiri dari file yang disimpan dalam direktori sementara. Namun, untuk pulih sepenuhnya, perangkat yang terinfeksi harus direset ke setelan pabrik.

Selengkapnya: Arstechnica